测试系统被告知要加强其行为
更新安全研究人员发现了多个漏洞在TCEXAM中,一种流行的开源在线测试系统。
如果成功利用,未经身份验证的远程攻击者可以获得对组织基于计算机的评估或“ E-EXAM”系统的管理访问。
反过来,这将开放到各种形式的漏洞上,包括允许学生(或其他恶意演员)查看或更改其他学生的成绩,直到和包括更改管理员登录详细信息的可能性。
Tenable的安全研究人员发现了这些缺陷,他们向TCEXAM透露了他们的发现,该发现解决了最新版本的软件问题。
撒掉旧的书籍
TCEXAM被翻译成26多种不同的语言,是一种广泛使用的电子学习系统,允许教育工作者为学生创建考试并远程交付考试 - 这种技术形式已经变得非常重要,作为在正在进行的过程中继续对年轻人进行教育的一种手段新冠病毒大流行。
远程学习在当前正在进行的健康紧急情况下的重要性促使Tenable的尼克·曼弗雷迪(Nick Manfredi)检查当时最新版本的TCEXAM软件14.2.2。
曼弗雷迪(Manfredi)随后的考试发现了损害测试系统的机密性,完整性和可用性的技术中的多个漏洞。
例如,他发现不少于六个存储跨站脚本((XSS)漏洞,由于未能消毒用户提取的输入而引起的漏洞。
同时,不安全的直接对象参考意味着经过身份验证的学生用户能够查看未经许可的测试元数据。
管理员访问
使用Burp Suite,Manfredi也能够找到单独的身份验证目录遍历和任意文件读取漏洞。该缺陷为攻击者创造了一种访问密码数据的机制。
为了全部限制,TCEXAM没有提供任何保护跨站点伪造((CSRF)攻击。
“By tricking a legitimate user into clicking a malicious link in a browser with an active TCExam session, unauthenticated, remote attackers were able to fire off valid application requests in order to, for instance, change the admin’s own password and gain administrative access to the TCExam platform,” Manfredi writes.
这个CSRF问题可能与XSS问题结合使用,以酿造更有效的攻击,从而创造了更改管理员密码的机制。
5月6日,这些漏洞通知TCEXAM。供应商大约在一个月后发布了其(TCEXAM版本14.2.3)的修补版本的响应。
回答来自每日swbeplay2018官网igTenable表示,其团队尚未研究其他在线学习平台,因此该公司无法就TCEXAM提供任何比较安全意见。
TCEXAM提供了一个通用测试平台,管理员可以使用它来创建任何类型的考试。因此,该平台可用于任何主题和任何可以参加考试的年龄段。
每日swbeplay2018官网ig邀请TCEXAM评论漏洞。
此故事已更新以添加Tenable的评论。
