Alerte de sécurité : liste des cours de Studio XSS

18 août 2015 | Par

Kevin Falcone (edX)

Alerte de sécurité

Gravité: Haute
Catégorie: Utilisateurs administrateurs de ciblage XSS
Projets concernés : edx-platform
Journaliste: Examen interne
URL permanente : https://openedx.org/CVE-2015-6253

Lors de tests internes de routine, une vulnérabilité XSS dans la liste des cours Studio a été découverte.

Les vulnérabilités et expositions courantes (CVE) projet a attribué le nom CVE-2015-6253 à ce problème. Il s'agit d'une entrée sur le CVE liste (http://cve.mitre.org), qui normalise les noms des problèmes de sécurité.

Plus d'informations

Avant ce correctif, les auteurs de cours pouvaient créer un cours contenant du code Javascript dans son nom et faire exécuter ce code dans le navigateur d'un utilisateur. Les titres des cours sont maintenant échappés avant de les afficher à l'utilisateur.

Le bogue a été corrigé dans ce s'engager.

chargement

Lancez la discussion sur discuter.openedx.org

Ressources

Il est temps d'en savoir plus ? Consultez les articles ci-dessous.

La plateforme Open edX obtient la certification LTI® Advantage
Le genévrier est là !
Démos de parrainage edX
Annulation de la conférence Open edX 2020
Rejoignez la conférence Open edX 2026 !

La conférence Open edX 2026 présentera des cas d'utilisation innovants pour l'un des meilleurs systèmes de gestion de l'apprentissage en ligne open source au monde, la plateforme Open edX, et découvrira les dernières avancées en matière de conception pédagogique, de constellation de cours et de méthodes d'exploitation et d'extension de la plateforme Open edX. , y compris des technologies de pointe, telles que l’IA générative.

Inscrivez-vous