セキュリティ警告: Studio コース一覧の XSS

18年2015月XNUMX日 | 執筆者

ケビン・ファルコーネ(edX)

セキュリティーアラート

重大度: ハイ
カテゴリ: 管理者ユーザーを標的としたXSS
影響を受けるプロジェクト: edxプラットフォーム
記者: 内部レビュー
永続URL: https://openedx.org/CVE-2015-6253

定期的な内部テスト中に、Studio のコース一覧に XSS の脆弱性が発見されました。

共通脆弱性と露出(CVE)プロジェクトが名前を割り当てました CVE-2015-6253 この問題に関する記事です。 CVE リスト(http://シーブ.mitre.org)は、セキュリティ問題の名称を標準化する規格です。

詳細情報

このパッチ以前は、コース作成者はコース名にJavaScriptコードを含むコースを作成し、ユーザーのブラウザでそのコードを実行できました。現在、コースタイトルはユーザーに表示される前にエスケープされます。

このバグは修正されました コミット。

ローディング

議論を始める 議論する.openedx.org

リソース

もっと時間が必要ですか? 以下の記事をご覧ください。

Open edXプラットフォームがLTI® Advantage認定を取得
ジュニパーが来ました!
edXスポンサーシップデモ
2020年のOpen edXカンファレンスの中止
Open edX カンファレンス 2026 に参加しましょう!

2026 Open edX カンファレンスでは、世界最高峰のオープンソース オンライン学習管理システムの XNUMX つである Open edX プラットフォームの革新的な使用事例を紹介し、教育設計、コース構成、生成 AI などの画期的なテクノロジーを含む Open edX プラットフォームの運用と拡張の方法における最新の進歩を紹介します。

今すぐ登録