آسیبپذیری CVE-2025-68270 با شدت 9.9 ناشی از پیادهسازی نادرست کنترل دسترسی مبتنی بر نقش (RBAC) در محیط Studio سامانه Open edX است. در این نقص، کاربران دارای نقش CourseLimitedStaffRole در سطح سازمان، بدون اینکه مجوز لازم در سطح دوره را داشته باشند، قادر به مشاهده و ویرایش دورهها میشوند. این رفتار برخلاف منطق طراحی دسترسیها بوده و باعث گسترش ناخواسته سطح دسترسی کاربران میشود. مهاجم احراز هویتشده میتواند از این ضعف برای دسترسی غیرمجاز به محتوای آموزشی و تنظیمات دورهها سوءاستفاده کند. در صورت بهرهبرداری، یکپارچگی دادهها و فرآیندهای آموزشی تحت تأثیر قرار میگیرد. این مشکل با اصلاح منطق بررسی نقشها در نسخه اصلاحشده برطرف شده است
- Open edX Platform (Studio)
- تمامی نسخههای قبل از اعمال Commit
- 05d0d0936daf82c476617257aa6c35f0cd4ca060
- استقرارهایی که از نقش CourseLimitedStaffRole در سطح Organization استفاده میکنند.
- بهروزرسانی فوری به نسخهای که شامل Commit اصلاحی است
- بازبینی و محدودسازی نقش CourseLimitedStaffRole فقط به سطح دوره (Course-level)
- بررسی و اصلاح پیکربندی RBAC در محیط Studio
- ممیزی دسترسی کاربران برای شناسایی دسترسیهای ناخواسته قبلی
- فعالسازی لاگبرداری و مانیتورینگ تغییرات دورهها
- در صورت عدم امکان بهروزرسانی فوری، حذف موقت دسترسیهای سازمانی از کاربران غیرضروری