Alerta de segurança: lista de cursos do Studio XSS

18 de agosto de 2015 | Por

Kevin Falcone (edX)

Alerta de Segurança

Gravidade: Alto
Categoria: Usuários administradores de segmentação XSS
Projetos afetados: plataforma edx
Repórter: Revisão interna
URL permanente: https://openedx.org/CVE-2015-6253

Durante os testes internos de rotina, foi descoberta uma vulnerabilidade XSS na listagem de cursos do Studio.

As Vulnerabilidades e Exposições Comuns (CVE) projeto atribuiu o nome CVE-2015-6253 a esta questão. Esta é uma entrada no CVE lista (http://cve.mitre.org), que padroniza nomes para problemas de segurança.

Mais informações

Antes desse patch, os autores do curso podiam criar um curso contendo código Javascript em seu nome e executar esse código no navegador do usuário. Os títulos dos cursos agora são escapados antes de exibi-los ao usuário.

O bug foi corrigido neste comprometer-se.

Carregando

Comece a discussão em discutir.openedx.org

Recursos

Tempo para mais? Confira os artigos abaixo.

A plataforma Open edX recebe a certificação LTI® Advantage
Junípero está aqui!
Demonstrações de patrocínio edX
Cancelando a Conferência Open edX de 2020
Participe da Conferência Open edX 2026!

A Conferência Open edX 2026 apresentará casos de uso inovadores para um dos melhores sistemas de gerenciamento de aprendizagem on-line de código aberto do mundo, a plataforma Open edX, e descobrirá os mais recentes avanços em design instrucional, constelação de cursos e métodos para operar e estender a plataforma Open edX , incluindo tecnologias inovadoras, como a IA generativa.

Inscreva-se agora