Avviso di sicurezza: vulnerabilità XSS nella funzione Teams

17 settembre 2015 | Di

Ed Zarecor (edX)

Allarme di sicurezza

Gravità: Alto
Categoria: XSS
Progetti interessati: piattaforma edx
Reporter: auto-riferito
URL permanente: https://openedx.org/CVE-2015-6960

Durante una revisione interna del codice del codice della piattaforma edx è stato scoperto che un bug consentiva al contenuto inviato dall'utente di contenere JavaScript che sarebbe stato eseguito nel browser di un utente finale.

Le vulnerabilità e le esposizioni comuni (CVE) il progetto ha assegnato a questo numero il nome CVE-2015-6960. Questa è una voce sul CVE elenco (http://CVE.mitre.org), che standardizza i nomi per problemi di sicurezza.

Maggiori informazioni

Questo bug ha consentito a un utente finale di creare un team contenente codice JavaScript a suo nome e di eseguire questo codice nel browser di un altro utente. 

La soluzione consiste nell'escape correttamente Javascript nei nomi dei team prima di visualizzarli nella pagina.

Il bug è stato corretto in questo commettere.

Caricamento in corso

Risorse

Tempo per altro? Dai un'occhiata agli articoli qui sotto.

La piattaforma Open edX ottiene la certificazione LTI® Advantage
Juniper è qui!
Demo di sponsorizzazione edX
Annullamento della Open edX Conference 2020
Partecipa alla conferenza Open edX 2026!

La conferenza Open edX del 2026 presenterà casi d'uso innovativi per uno dei migliori sistemi di gestione dell'apprendimento online open source al mondo, la piattaforma Open edX, e scoprirà gli ultimi progressi nella progettazione didattica, nella costellazione dei corsi e nei metodi per utilizzare ed estendere la piattaforma Open edX , comprese tecnologie rivoluzionarie, come l'intelligenza artificiale generativa.

Iscriviti