VU#780141 : Vulnérabilité de t... Note

VU#780141 : Vulnérabilité de type cross-site scripting dans la navigation des cours Lectora

Une vulnérabilité de type cross-site scripting existe dans les anciennes versions de Lectora Desktop et Lectora Online. Plus précisément, les versions 21.0 à 21.3 de Lectora Desktop et les versions 7.1.6 et antérieures de Lectora Online sont affectées. Cette vulnérabilité se produit dans les cours publiés avec l'option Seamless Play Publish activée et l'accessibilité Web désactivée. L'exploitation de cette faille permet l'injection de JavaScript via des paramètres d'URL manipulés. Une telle attaque pourrait entraîner le détournement de session ou la redirection de l'utilisateur. La vulnérabilité a été corrigée dans la version 21.4 de Lectora Desktop, sortie le 25 octobre 2022. Lectora Online a également reçu un correctif, la version 7.1.7, déployée le 20 juillet 2025. Il est crucial que les utilisateurs republient leurs cours existants pour appliquer ces correctifs. Cette instruction a été omise par erreur dans les notes de version de Desktop. Le CERT Coordination Center sensibilise le public en raison des utilisateurs de haut niveau du logiciel Lectora.