Открытая учебная платформа SkillTree Агентства национальной безопасности США на GitHub подверглась воздействию уязвимости средней степени серьезности, связанной с подделкой межсайтовых запросов, которая отслеживается как CVE-2024-39326. Она может использоваться для несанкционированного изменения учебного контента. Источник: SiliconAngle
Атакующие могут использовать уязвимость, которая возникла из-за неадекватной защиты CSRF, в первую очередь в конечных точках SkillTree для операций по изменению состояния, для распространения дезинформации и срыва обучения, показал анализ Contrast Security.
Несмотря на то, что специалисты по поддержке АНБ уже устранили проблему с помощью новой версии SkillTree с улучшенной защитой CSRF, такая уязвимость подчеркивает риски безопасности проектов с открытым исходным кодом.
Хотя уязвимость можно оценить лишь как среднюю по степени серьезности, тот факт, что главное международное шпионское агентство США не может обеспечить надлежащий уровень безопасности, подчеркивает растущие риски, связанные с проектами с открытым исходным кодом на таких платформах, как GitHub
Более того, по словам основателя и главного технического директора Contrast Джеффа Уильямса, АНБ не следует осуждать за проблему безопасности, так как уязвимость найдена, и значит, будет исправлена.
Только главные новости в нашем Telegram, Facebook и GoogleNews!
Tweet