Opigno Learning path - Critical - Arbitrary PHP code execution - SA-CONTRIB-2024-029
Critical
拡張モジュール
2024/8/7 (日本時間:GMT+9)、Opigno Learning pathにおいて脆弱性が発見されました。
インストールしているモジュールのバージョンを確認のうえ、アップデートをおすすめします。
●プロジェクト :Opigno Learning path
●投稿日 :2024/8/7
●セキュリティリスク :Critical
●脆弱性 :Arbitrary PHP code execution
==概要==
Opigno Learning pathモジュールは、グループコンテンツの管理を可能にします。
管理フォームでは、任意のコード(RCE)やクロスサイトスクリプション(XSS)を含む可能性のある悪意あるファイルをアップロードすることを許可しています。これらのフォームは、権限の重大性を反映する適切な制御が行われていませんでした。
この脆弱性は、攻撃者が "Manage group content in any group "という権限を持つロールを持っている必要があるという事実によって軽減されています。
==解決方法==
最新バージョンをインストールしてください。
opigno_learning_path moduleモジュールを使用している場合は、opigno_learning_path >= 3.1.2にアップグレードしてください。