Vulnerabilità: CVE-2020-5231

In cielo aperto prima di 7.6 e 8.1, gli utenti con il ROLE_COURSE_ADMIN ruolo possono utilizzare l’utente-utils endpoint per creare nuovi utenti non compreso il ROLE_ADMIN ruolo. ROLE_COURSE_ADMIN è un ruolo non standard in a cielo aperto, che fa riferimento né nella documentazione né in qualsiasi codice (tranne che per i test), ma solo nella configurazione della sicurezza. Dal nome & # 8211; il che implica un amministratore di un corso specifico & # 8211; gli utenti non avrebbero mai aspettarsi che questo ruolo permette la creazione dell’utente. Questo problema è stato risolto in 7.6 e 8.1, che, sia a bordo di una nuova configurazione di sicurezza predefinita.


https://github.com/opencast/opencast/security/advisories/GHSA-94qw-r73x-j7hg
https://github.com/opencast/opencast/commit/72fad0031d8a82c860e2bde0b27570c5042320ee
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5231


E' possibile lasciare un commento come utenti registrati al sito, accedendo tramite social, account wordpress oppure come utenti anonimi. Nel caso in cui si desideri lasciare un commento come utenti anonimi si verrà avvisati via email di un'eventuale risposta solo se si inserisce l'indirizzo email (facoltativo). L'inserimento di qualsiasi dato nei campi dei commenti è totalmente facoltativo. Chiunque decida di inserire un qualsiasi dato accetta il trattamento di questi ultimi per i fini inerenti al servizio ovvero la risposta al commento e le comunicazioni strettamente necessarie.


Rispondi