Avviso di sicurezza: elenco dei corsi in Studio XSS

18 agosto 2015 | Di

Kevin Falcone (a cura di X)

Allarme di sicurezza

Gravità: Alto
Categoria: Utenti amministratori di targeting XSS
Progetti interessati: piattaforma edx
Reporter: Revisione interna
URL permanente: https://openedx.org/CVE-2015-6253

Durante i test interni di routine, è stata rilevata una vulnerabilità XSS nell'elenco dei corsi di Studio.

Le vulnerabilità e le esposizioni comuni (CVE) il progetto ha assegnato il nome CVE-2015-6253 a questo problema. Questa è una voce sul CVE elenco (http://CVE.mitre.org), che standardizza i nomi per problemi di sicurezza.

Maggiori informazioni

Prima di questa patch, gli autori del corso potevano creare un corso contenente codice Javascript nel suo nome e far eseguire questo codice nel browser di un utente. I titoli dei corsi sono ora sottoposti a escape prima di mostrarli all'utente.

Il bug è stato corretto in questo commettere.

Caricamento in corso

Inizia la discussione su discutere.openedx.org

Risorse

Tempo per altro? Dai un'occhiata agli articoli qui sotto.

La piattaforma Open edX ottiene la certificazione LTI® Advantage
Juniper è qui!
Demo di sponsorizzazione edX
Annullamento della Open edX Conference 2020
Partecipa alla conferenza Open edX 2026!

La conferenza Open edX del 2026 presenterà casi d'uso innovativi per uno dei migliori sistemi di gestione dell'apprendimento online open source al mondo, la piattaforma Open edX, e scoprirà gli ultimi progressi nella progettazione didattica, nella costellazione dei corsi e nei metodi per utilizzare ed estendere la piattaforma Open edX , comprese tecnologie rivoluzionarie, come l'intelligenza artificiale generativa.

Iscriviti