Сигнал безпеки
| Тяжкість: | Високий |
| Категорія: | XSS, орієнтований на адміністраторів |
| Постраждалі проекти: | edx-платформа |
| Репортер: | Внутрішній огляд |
| Постійна URL-адреса: | https://openedx.org/CVE-2015-6253 |
Під час звичайного внутрішнього тестування було виявлено XSS-уразливість у списку курсів Studio.
Загальні вразливості та ризики (CVE) проект отримав назву CVE-2015-6253 до цього питання. Це запис на CVE список (http://cve.mitre.org), який стандартизує імена для проблем безпеки.
Додаткова інформація
До цього патча автори курсу могли створювати курс, що містить код Javascript у своїй назві, і виконувати цей код у браузері користувача. Назви курсів тепер екрануються перед відображенням для користувача.
У цьому помилка була виправлена вчинити.
