Alerta de segurança: Vulnerabilidade XSS no recurso Teams

17 de setembro de 2015 | Por

Ed Zarecor (edX)

Alerta de Segurança

Gravidade: Alto
Categoria: XSS
Projetos afetados: plataforma edx
Repórter: auto-relatado
URL permanente: https://openedx.org/CVE-2015-6960

Durante uma revisão de código interna do código da plataforma edx, foi descoberto que um bug permitia que o conteúdo enviado pelo usuário contivesse JavaScript que seria executado no navegador de um usuário final.

As Vulnerabilidades e Exposições Comuns (CVE) designou o nome CVE-2015-6960 para este problema. Esta é uma entrada no CVE lista (http://cve.mitre.org), que padroniza nomes para problemas de segurança.

Mais informações

Esse bug possibilitou que um usuário final criasse uma equipe contendo código JavaScript em seu nome e executasse esse código no navegador de outro usuário. 

A correção é fazer o escape correto do Javascript nos nomes das equipes antes de exibi-los na página.

O bug foi corrigido neste commit.

Carregando

Recursos

Tempo para mais? Confira os artigos abaixo.

A plataforma Open edX recebe a certificação LTI® Advantage
Junípero está aqui!
Demonstrações de patrocínio edX
Cancelando a Conferência Open edX de 2020
Participe da Conferência Open edX 2026!

A Conferência Open edX 2026 apresentará casos de uso inovadores para um dos melhores sistemas de gerenciamento de aprendizagem on-line de código aberto do mundo, a plataforma Open edX, e descobrirá os mais recentes avanços em design instrucional, constelação de cursos e métodos para operar e estender a plataforma Open edX , incluindo tecnologias inovadoras, como a IA generativa.

Inscreva-se agora