CVE-2024-41806

Nome do software vulnerável e versões afetadas:

Versões da plataforma Open edX: master, palm, olive, nutmeg, maple, lilac, koa ou juniper

Descrição:

O problema está relacionado a um controle de acesso inadequado na plataforma Open edX, especificamente no componente AWS S3 Bucket Handler. Isso pode permitir que um invasor remoto divulgue informações protegidas. Os instrutores podem fazer upload de arquivos CSV contendo informações dos alunos para criar coortes no painel do instrutor e, com determinados back-ends de armazenamento, esses uploads podem se tornar publicamente disponíveis. O patch garante que os dados das coortes enviados para buckets do AWS S3 sejam gravados com uma ACL privada.

Recomendações:

Para as versões master, palm, olive, nutmeg, maple, lilac, koa ou juniper, aplique o patch no commit cb729a3ced0404736dfa0ae768526c82b608657b para garantir que os dados de coortes enviados para buckets do AWS S3 sejam gravados com uma ACL privada.

Além da aplicação do patch, certifique-se de que os uploads de coortes existentes tenham uma ACL privada ou tome outras precauções para evitar o acesso público.