VU#780141: Lectoraコースナビゲーションにおけるクロスサイトスクリプティング脆弱性
古いバージョンの Lectora Desktop および Lectora Online にクロスサイトスクリプティングの脆弱性が存在します。具体的には、Lectora Desktop バージョン 21.0 から 21.3、および Lectora Online バージョン 7.1.6 以前が影響を受けます。この脆弱性は、Seamless Play Publish が有効で Web Accessibility が無効になっているコースで発生します。この脆弱性を悪用すると、細工された URL パラメータを通じて JavaScript を注入できます。このような攻撃は、セッションハイジャックやユーザーのリダイレクトにつながる可能性があります。この脆弱性は、2022 年 10 月 25 日にリリースされた Lectora Desktop バージョン 21.4 で修正されました。Lectora Online も、2025 年 7 月 20 日に展開されたバージョン 7.1.7 で修正されました。重要なのは、これらのパッチを適用するために、ユーザーは既存のコースを再公開する必要があるということです。この指示は、Desktop リリースノートから誤って省略されていました。CERT Coordination Center は、Lectora ソフトウェアの著名なユーザーがいるため、この問題に対する認識を高めています。