Сигнал безпеки
| Тяжкість: | Високий |
| Категорія: | XSS |
| Постраждалі проекти: | edx-платформа |
| Репортер: | самооцінка |
| Постійна URL-адреса: | https://openedx.org/CVE-2015-6960 |
Під час внутрішньої перевірки коду платформи edx було виявлено, що помилка дозволяла надісланому користувачем вмісту містити JavaScript, який виконуватиметься у браузері кінцевого користувача.
Загальні вразливості та ризики (CVE) проект присвоїв цій проблемі назву CVE-2015-6960. Це запис на CVE список (http://cve.mitre.org), який стандартизує імена для проблем безпеки.
Додаткова інформація
Ця помилка дозволила кінцевому користувачеві створити команду, яка містить код JavaScript у своїй назві, і виконати цей код у браузері іншого користувача.
Виправлення полягає в правильному екрануванні Javascript у назвах команд перед їх відображенням на сторінці.
У цьому помилка була виправлена commit.
