Alerte de sécurité : vulnérabilité XSS dans la fonctionnalité Teams

17 septembre 2015 | Par

Ed Zarecor (edX)

Alerte de sécurité

Gravité: Haute
Catégorie: XSS
Projets concernés : edx-platform
Journaliste: autodéclaré
URL permanente : https://openedx.org/CVE-2015-6960

Lors d'un examen interne du code de la plate-forme edx, il a été découvert qu'un bogue permettait au contenu soumis par l'utilisateur de contenir du JavaScript qui s'exécuterait dans le navigateur d'un utilisateur final.

Les vulnérabilités et expositions courantes (CVE) a attribué le nom CVE-2015-6960 à ce problème. Il s'agit d'une entrée sur le CVE liste (http://cve.mitre.org), qui normalise les noms des problèmes de sécurité.

Plus d'informations

Ce bogue permettait à un utilisateur final de créer une équipe contenant du code JavaScript dans son nom et de faire exécuter ce code dans le navigateur d'un autre utilisateur. 

Le correctif consiste à échapper correctement Javascript dans les noms d'équipe avant de les afficher sur la page.

Le bogue a été corrigé dans ce commettre.

chargement

Ressources

Il est temps d'en savoir plus ? Consultez les articles ci-dessous.

La plateforme Open edX obtient la certification LTI® Advantage
Le genévrier est là !
Démos de parrainage edX
Annulation de la conférence Open edX 2020
Rejoignez la conférence Open edX 2026 !

La conférence Open edX 2026 présentera des cas d'utilisation innovants pour l'un des meilleurs systèmes de gestion de l'apprentissage en ligne open source au monde, la plateforme Open edX, et découvrira les dernières avancées en matière de conception pédagogique, de constellation de cours et de méthodes d'exploitation et d'extension de la plateforme Open edX. , y compris des technologies de pointe, telles que l’IA générative.

Inscrivez-vous