PT-2024-35697 · Autolab · Autolab
20Wildmanj
·
Publicado
2024-11-25
·
Atualizado
2024-11-25
·
CVE-2024-53258
CVSS v4.0
7.1
Alta
| Vetor | AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N |
Nome do software vulnerável e versões afetadas
Versões 3.0.0 a 3.0.2 do Autolab
Descrição
O Autolab é um serviço de gerenciamento de cursos que permite a correção automática de tarefas de programação. A vulnerabilidade permite que os alunos baixem todas as tarefas de outro aluno, desde que estejam conectados, utilizando o recurso
download all submissions. Isso pode levar ao vazamento de envios para usuários não autorizados, como o download de envios de outros alunos da turma ou até mesmo de envios de testes do instrutor, caso eles conheçam seus IDs de usuário.Recomendações
Para as versões 3.0.0 a 3.0.2 do Autolab, recomenda-se que os usuários apliquem manualmente o patch com o commit
1aa4c769 ou aguardem a versão 3.0.3.Como solução alternativa temporária, os administradores podem desativar o recurso
download all submissions para minimizar o risco de exploração.Exploit
Correção
Missing Authorization
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Autolab