セキュリティーアラート
| 重大度: | ハイ |
| カテゴリ: | XSS |
| 影響を受けるプロジェクト: | edxプラットフォーム |
| 記者: | 自己報告 |
| 永続URL: | https://openedx.org/CVE-2015-6960 |
edx プラットフォーム コードの内部コードレビュー中に、バグにより、ユーザーが送信したコンテンツにエンドユーザーのブラウザーで実行される JavaScript が含まれる可能性があることが発見されました。
共通脆弱性と露出(CVE)プロジェクトはこの問題にCVE-2015-6960という名称を割り当てました。これは CVE リスト(http://シーブ.mitre.org)は、セキュリティ問題の名称を標準化する規格です。
詳細情報
このバグにより、エンド ユーザーがチーム名に JavaScript コードを含むチームを作成し、そのコードを別のユーザーのブラウザーで実行することが可能になりました。
修正方法は、チーム名をページに表示する前に、チーム名内の Javascript を正しくエスケープすることです。
このバグは修正されました コミット.
