CVE-2025-68270：Open edX edx-platform 中的授权缺失漏洞

严重等级：严重 类型：漏洞 CVE编号：CVE-2025-68270

Open edX Platform 是一个学习管理平台。在修复提交（commit）05d0d0936daf82c476617257aa6c35f0cd4ca060 之前，如果用户在组织（org）层面而非课程（course）层面被授予 CourseLimitedStaffRole 角色，则这些用户能够在工作室（studio）界面访问和编辑课程。此外，这些用户还能够列出他们拥有该角色的课程，尽管他们本不应在工作室端拥有该课程的访问权限。提交 05d0d0936daf82c476617257aa6c35f0cd4ca060 修复了此问题。

技术摘要

CVE-2025-68270 是 Open edX edx-platform（一个广泛使用的开源学习管理系统）中一个严重的授权绕过漏洞。该缺陷源于对在组织层面而非课程层面被分配 CourseLimitedStaffRole 角色的用户，其基于角色的访问控制（RBAC）执行不当。在提交 05d0d0936daf82c476617257aa6c35f0cd4ca060 之前，这些用户可以访问工作室界面并编辑他们本应无权访问的课程，同时还能列出超出其授权范围的课程。发生这种情况是因为平台未能验证 CourseLimitedStaffRole 是专门在课程级别授予的，导致在组织级别授予时访问权限被不当扩大。

该漏洞被归类为 CWE-862（授权缺失），表明未能正确限制对资源的访问。CVSS 3.1 向量（AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:L）反映出，攻击可以通过网络远程发起，复杂度低，仅需低权限，无需用户交互，并对机密性和完整性造成高度影响，对可用性影响有限。尽管尚无公开的漏洞利用报告，但其高严重性和易于利用的特性使其构成重大风险。该漏洞影响修复提交之前的所有 edx-platform 部署，那些在组织级别分配角色的 Open edX 使用机构尤其面临风险。补丁提交 05d0d0936daf82c476617257aa6c35f0cd4ca060 修正了授权检查逻辑，确保 CourseLimitedStaffRole 用户只能访问他们在课程级别被明确分配的课程，从而恢复了正确的访问控制执行。

潜在影响

对于欧洲的组织，特别是使用 Open edX 平台的教育机构和培训提供商，此漏洞对课程内容和用户数据的机密性与完整性构成严重风险。具有受限员工角色的未授权用户可能获取敏感课程资料、修改内容或干扰课程交付，可能影响数千名学生和教育工作者。这可能导致知识产权盗窃、个人数据泄露以及机构声誉受损。对完整性的影响可能损害教育证书和评估的可信度。此外，未授权的编辑可能引入错误信息或恶意内容。鉴于其可远程网络利用且无需用户交互，攻击者可能自动化利用尝试，增加了广泛入侵的风险。有限的可用性影响表明平台可能大体保持运行，但核心教育功能可能受损。由于涉及未经授权访问个人数据，该漏洞也引发了关于 GDPR 合规性的担忧。采用分散式角色管理实践的组织面临更高风险，因为不当的角色分配会为利用漏洞提供便利。

缓解建议

欧洲组织应立即验证其 Open edX 平台版本，并应用对应于提交 05d0d0936daf82c476617257aa6c35f0cd4ca060 或更高版本的补丁。如果无法立即打补丁，应使用网络分段和防火墙规则，将工作室界面的网络访问限制为仅限受信任的管理员。审查并审计所有 CourseLimitedStaffRole 分配，确保其严格授予在课程级别，而非组织级别。实施严格的角色管理策略和定期访问审查，以防止不当的特权分配。启用详细的日志记录和对工作室访问及课程编辑的监控，以检测异常活动。考虑部署具有自定义规则的 Web 应用防火墙（WAF）来检测和阻止未授权的访问模式。向管理员普及此漏洞以及最小权限原则的重要性。最后，与 Open edX 社区和供应商协调，获取更新和安全通告，随时了解任何新出现的漏洞利用或额外补丁。

受影响国家

英国、德国、法国、意大利、西班牙、荷兰、瑞典、芬兰、比利时、波兰

来源： CVE 数据库 V5 发布日期： 2025年12月16日，星期二