行业新闻与博客

更新的安全研究人员已经在 TCExam（一种流行的开源在线测试系统）中发现了多个漏洞。

如果成功利用，未经身份验证的远程攻击者可以获得对组织的基于计算机的评估（或“电子考试”）系统的管理访问权限。

反过来，这将向所有形式的利用敞开大门，包括允许学生（或其他恶意行为者）查看或更改其他学生的成绩，甚至包括更改管理员登录详细信息的可能性。

Tenable 的安全研究人员发现了这些缺陷，并向 TCExam 披露了他们的发现，该公司已使用其最新版本的软件解决了这些问题。

清除旧课本

TCExam 被翻译成 26 种以上的不同语言，是一种广泛使用的电子学习系统，它使教育工作者可以为学生创建考试并进行远程交付-这种技术形式已经非常重要，可以作为在持续学习过程中继续进行青少年教育的一种手段冠状病毒大流行。

在当前持续的医疗紧急状况中，远程学习的重要性日益提高，促使 Tenable 的 Nick Manfredi 研究了当时最新的 TCExam 软件 14.2.2。

洞察 冠状病毒：如何在隔离期间安全地在家工作

Manfredi 随后的检查发现了该技术中的多个漏洞，这些漏洞损害了测试系统的机密性，完整性和可用性。

例如，他发现了不少于六个存储的跨站点脚本（XSS）漏洞，这是由于未能清理用户提交的输入而引起的。

同时，不安全的直接对象引用意味着经过身份验证的学生用户可以查看他们未经许可的测试元数据。

管理员权限

使用 Burp Suite，Manfredi 还能够找到单独的经过身份验证的目录遍历和任意文件读取漏洞。该漏洞为攻击者创建了一种访问密码数据的机制。

总而言之，TCExam 没有提供针对跨站点请求伪造（CSRF）攻击的保护。

“通过诱使合法用户单击具有活动 TCExam 会话的浏览器中的恶意链接，未经身份验证的远程攻击者可以触发有效的应用程序请求，例如，更改管理员自己的密码并获得对 TCExam 平台。” Manfredi 写道。

此 CSRF 问题可能与 XSS 问题结合在一起，酿造了更强大的攻击，从而创建了更改管理员密码的机制。

Tenable 在 5月6日将这些漏洞通知了 TCExam。供应商在大约一个月后发布了修补程序版本（TCExam 版本 14.2.3）作为回应。

Tenable 公众的研究人员通过博客文章和详细的技术咨询获得了他们的发现。

在回答《每日新闻》的提问时，Tenable 表示其团队尚未研究其他在线学习平台，因此该公司无法就 TCExam 提供任何比较的安全性意见。

TCExam 提供了一个通用的测试平台，管理员可以使用它来创建任何类型的考试。因此，该平台可用于可以参加考试的任何主题和年龄段。

Daily Swig 邀请 TCExam 对漏洞进行评论。

此故事已更新，以添加来自 Tenable 的评论。

本文由机器译制