Diversas Vulnerabilidades Encontradas na Plataforma eFront

Conforme relatos da Secunia, diversas vulnerabilidades foram encontradas na plataforma open source de e-learning eFront. Estas falhas podem ser exploradas por usuários maliciosos, para conduzir ataques de injeção SQL e comprometer um sistema vulnerável, através da ação de pessoas maliciosas, com o intuito de contornar determinadas restrições de segurança. Isso iria favorecer ataques Cross-Site Scripting (XSS) e outras atividades nocivas ao sistema.

Algumas "inputs" não especificadas, não teriam sido devidamente limpas ao retornar ao usuário. Isto pode ser explorado para executar HTML arbitrário e código de script em uma sessão de browser de usuário, caso um site esteja afetado. "Inputs" passadas ​​através do parâmetro do "HTTP_REFERER" para www/periodic_updater.php não estariam limpas devidamente, antes de serem utilizadas em uma consulta SQL. Isto pode ser explorado para manipular queries SQL, injetando código SQL arbitrário.

Houve ainda um erro dentro do mecanismo de autenticação, que não verificou adequadamente o cookie value "cookie_login". Isto pode ser explorado para contornar o mecanismo de autenticação, e ter acesso administrativo para tal aplicação.

Essas e muitas outras vulnerabilidades detectadas, foram relatadas na versão 3.6.10 build 11944; as versões anteriores também podem ter sido afetadas pelas falhas, cujo grau é relevante. Para solucionar o problema, basta atualizar para a versão 3.6.10 build 12151.


Saiba Mais:

[1] eFront Download 3.6.10 http://efrontlearning.net/download
[2] Net Security http://www.net-security.org/secworld.php?id=11861