The Open eClass platform (formerly known as GUnet eClass) is a complete course management system. Prior to version 4.2, an arbitrary file upload vulnerability in the theme import functionality enables an attacker with administrative privileges to upload arbitrary files on the server's file system. The main cause of the issue is that no validation or sanitization of the file's present inside the zip archive. This leads to remote code execution on the web server. Version 4.2 patches the issue.
Open eClass platform versions prior to 4.2 contain a critical arbitrary file upload vulnerability (CVE-2026-22241) in the theme import functionality. Attackers with administrative privileges can exploit insufficient file validation within ZIP archives to upload malicious files and achieve remote code execution on the web server. Active exploits exist and patches are available in version 4.2.
تعاني منصة Open eClass المستخدمة لإدارة المقررات الدراسية من ثغرة أمنية خطيرة تسمح برفع ملفات تعسفية عبر وظيفة استيراد السمات. السبب الرئيسي للمشكلة هو غياب التحقق أو التعقيم للملفات الموجودة داخل الأرشيف المضغوط بصيغة ZIP. يستطيع المهاجم الذي يمتلك صلاحيات إدارية استغلال هذه الثغرة لرفع ملفات خبيثة على نظام الملفات الخاص بالخادم. تؤدي هذه الثغرة إلى تنفيذ أوامر عن بُعد على خادم الويب مما يمنح المهاجم سيطرة كاملة على النظام المستهدف.
تحتوي منصة Open eClass في الإصدارات السابقة للإصدار 4.2 على ثغرة حرجة في رفع الملفات التعسفي (CVE-2026-22241) ضمن وظيفة استيراد السمات. يمكن للمهاجمين الذين يمتلكون صلاحيات إدارية استغلال ضعف التحقق من الملفات داخل أرشيفات ZIP لرفع ملفات خبيثة وتحقيق تنفيذ أوامر عن بُعد على خادم الويب. توجد استغلالات نشطة وتتوفر تصحيحات أمنية في الإصدار 4.2.
1. Immediately upgrade all Open eClass installations to version 4.2 or later which includes security patches addressing the arbitrary file upload vulnerability
2. Implement strict access controls and multi-factor authentication for all administrative accounts, conduct immediate audit of existing admin accounts and review recent theme import activities for suspicious file uploads
3. Deploy web application firewall (WAF) rules to monitor and block suspicious file upload attempts, implement file type validation and content inspection for all ZIP archives, and establish network segmentation to isolate learning management systems from critical infrastructure
1. الترقية الفورية لجميع تثبيتات منصة Open eClass إلى الإصدار 4.2 أو أحدث والذي يتضمن التصحيحات الأمنية لمعالجة ثغرة رفع الملفات التعسفية
2. تطبيق ضوابط صارمة للوصول والمصادقة متعددة العوامل لجميع الحسابات الإدارية، وإجراء مراجعة فورية للحسابات الإدارية الموجودة ومراجعة أنشطة استيراد السمات الأخيرة للكشف عن عمليات رفع ملفات مشبوهة
3. نشر قواعد جدار حماية تطبيقات الويب (WAF) لمراقبة وحظر محاولات رفع الملفات المشبوهة، وتطبيق التحقق من أنواع الملفات وفحص المحتوى لجميع أرشيفات ZIP، وإنشاء تقسيم شبكي لعزل أنظمة إدارة التعلم عن البنية التحتية الحيوية