Platform
php
Component
eclass
Opgelost in
2.25.10.2.1
CVE-2019-9886 beschrijft een kwetsbaarheid voor willekeurige bestandsaccess in BroadLearning eClass, een leeromgeving. Deze kwetsbaarheid stelt een aanvaller in staat om bestanden te downloaden zonder authenticatie, wat kan leiden tot datalekken en compromittering van de server. De kwetsbaarheid treft versies van eClass tot en met 2.25.10.2.1. Een patch is beschikbaar in versie 2.25.10.2.1.
De impact van deze kwetsbaarheid is significant. Een succesvolle exploitatie stelt een aanvaller in staat om willekeurige bestanden van de server te downloaden, inclusief potentieel gevoelige informatie zoals broncode, configuratiebestanden, en gebruikersgegevens. Dit kan leiden tot datalekken, compromittering van de server, en verdere aanvallen. De kwetsbaarheid is eenvoudig te exploiteren, aangezien er geen authenticatie vereist is om de kwetsbare URL te benaderen. Het is vergelijkbaar met eerdere kwetsbaarheden waarbij onbeveiligde downloadfuncties werden misbruikt om toegang te krijgen tot gevoelige data.
Deze kwetsbaarheid werd publiekelijk bekendgemaakt op 2019-07-11. Er zijn momenteel geen bekende actieve campagnes die deze kwetsbaarheid misbruiken, maar de eenvoudige exploitatie maakt het een aantrekkelijk doelwit voor aanvallers. Er zijn publieke proof-of-concept exploits beschikbaar, wat het risico vergroot. De kwetsbaarheid is niet opgenomen in de CISA KEV catalogus.
Educational institutions and organizations utilizing BroadLearning eClass are at significant risk. Specifically, those running older, unpatched versions of eClass (≤2.25.10.2.1) are highly vulnerable. Shared hosting environments where multiple users share the same server instance are also at increased risk, as a compromise of one eClass instance could potentially affect others.
• php: Examine web server access logs for requests to download_attachment.php originating from unusual IP addresses or user agents.
grep 'download_attachment.php' /var/log/apache2/access.log | grep -v '127.0.0.1' • php: Check for the presence of the download_attachment.php file in the templates and home directories of the eClass installation.
find /var/www/html/eclass -name 'download_attachment.php' • generic web: Monitor network traffic for HTTP requests containing the download_attachment.php URL.
• generic web: Review eClass configuration files for any unusual or unauthorized access controls related to file downloads.
disclosure
Exploit Status
EPSS
0.47% (65% percentiel)
CVSS-vector
De primaire mitigatie is het upgraden van eClass naar versie 2.25.10.2.1 of hoger, waar de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, kan een tijdelijke workaround bestaan uit het blokkeren van toegang tot de downloadattachment.php URL via een Web Application Firewall (WAF) of proxy server. Controleer ook de configuratie van de webserver om ervoor te zorgen dat de directory waar downloadattachment.php zich bevindt, niet toegankelijk is voor ongeautoriseerde gebruikers. Na de upgrade, controleer de logbestanden op verdachte activiteiten en bevestig dat de kwetsbaarheid daadwerkelijk is verholpen door het proberen te benaderen van de kwetsbare URL.
Actualiseer de eClass platform naar versie ip.2.5.10.2.1 of hoger. Deze update corrigeert de kwetsbaarheid die het downloaden van willekeurige bestanden zonder authenticatie mogelijk maakt.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2019-9886 is a critical vulnerability in BroadLearning eClass versions up to 2.25.10.2.1 that allows attackers to download arbitrary files without authentication.
You are affected if you are using eClass version 2.25.10.2.1 or earlier. Check your version and upgrade immediately.
Upgrade eClass to version 2.25.10.2.1 or later. As a temporary workaround, configure a WAF to block requests to download_attachment.php.
While no confirmed active exploitation campaigns are publicly known, the vulnerability's severity and ease of exploitation make it a likely target.
Refer to the BroadLearning security advisory for details: [https://www.broadlearning.org/security-advisories/](https://www.broadlearning.org/security-advisories/)
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.