VU#780141: Cross-Site-Scripting-Schwachstelle in der Lectora-Kursnavigation
In älteren Versionen von Lectora Desktop und Lectora Online besteht eine Cross-Site-Scripting-Schwachstelle. Genauer gesagt sind die Lectora Desktop-Versionen 21.0 bis 21.3 und die Lectora Online-Versionen 7.1.6 und älter betroffen. Diese Schwachstelle tritt in Kursen auf, die mit aktiviertem Seamless Play Publish und deaktivierter Web Accessibility veröffentlicht wurden. Die Ausnutzung dieses Fehlers ermöglicht die JavaScript-Injection durch manipulierte URL-Parameter. Ein solcher Angriff könnte zu Session-Hijacking oder Benutzerumleitung führen. Die Schwachstelle wurde in Lectora Desktop Version 21.4 gepatcht, die am 25. Oktober 2022 veröffentlicht wurde. Lectora Online erhielt ebenfalls einen Patch, Version 7.1.7, der am 20. Juli 2025 bereitgestellt wurde. Entscheidend ist, dass Benutzer ihre bestehenden Kurse neu veröffentlichen müssen, um diese Patches anzuwenden. Diese Anweisung wurde in den Desktop-Release-Notes irrtümlicherweise weggelassen. Das CERT Coordination Center macht auf diese Schwachstelle aufmerksam, da Lectora-Software von hochkarätigen Benutzern eingesetzt wird.