PT-2024-22332 · Drawio+1 · Drawio+1
Gnaegi
·
Publicado
2024-03-11
·
Atualizado
2024-03-12
·
CVE-2024-28198
CVSS v3.1
7.5
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Versões do OpenOlat anteriores à 18.1.6
Versões do OpenOlat anteriores à 18.2.2
Descrição
O OpenOlat é uma plataforma de e-learning de código aberto baseada na web para ensino, aprendizagem, avaliação e comunicação. Ao manipular manualmente solicitações HTTP ao usar a integração com o draw.io, é possível ler arquivos arbitrários como o usuário do sistema configurado e realizar uma falsificação de solicitação do lado do servidor (SSRF).
Recomendações
Para versões anteriores à 18.1.6, atualize para a versão mais recente da série 18.1.x.
Para versões anteriores à 18.2.2, atualize para a versão mais recente da série 18.2.x.
Como solução temporária, considere desativar o módulo Draw.io ou toda a API REST para proteger o sistema.
Exploit
Correção
XXE
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Openolat
Drawio