download_all_submissions 允许学生在 Autolab 中下载其他学生的提交内容 (CVE-2024-53258)
CVE编号
CVE-2024-53258
利用情况
暂无
补丁情况
N/A
披露时间
2024-11-26
漏洞描述
Autolab是一款课程管理服务,可实现自动分级的编程作业。从Autolab v.3.0.0版本开始,只要学生已登录,就可以使用download_all_submissions功能下载其他学生的所有作业。这可能会导致作业泄露给未经授权的用户,例如下载班级中其他学生的作业,甚至下载教师的测试作业,前提是他们知道用户ID。该问题已在提交`1aa4c769`中进行修复,该提交尚未包含在发布版本中,但预计会包含在版本3.0.3中。建议用户手动修复或等待版本3.0.3。作为替代方案,管理员可以禁用该功能。
解决建议
建议您更新当前系统或软件至最新版,完成漏洞的修复。
文章评论