VU#780141: Lectora 코스 탐색에서의 사이트 간 스크립팅 취약점
Lectora Desktop 및 Lectora Online의 이전 버전에서 사이트 간 스크립팅 취약점이 존재합니다. 구체적으로 Lectora Desktop 버전 21.0부터 21.3까지, 그리고 Lectora Online 버전 7.1.6 이하가 영향을 받습니다. 이 취약점은 Seamless Play Publish가 활성화되고 Web Accessibility가 비활성화된 상태로 게시된 과정에서 발생합니다. 이 결함을 악용하면 조작된 URL 매개변수를 통해 JavaScript를 주입할 수 있습니다. 이러한 공격은 세션 하이재킹 또는 사용자 리디렉션으로 이어질 수 있습니다. 이 취약점은 2022년 10월 25일에 릴리스된 Lectora Desktop 버전 21.4에서 패치되었습니다. Lectora Online 또한 2025년 7월 20일에 배포된 버전 7.1.7에서 패치되었습니다. 중요한 것은 사용자가 이러한 패치를 적용하기 위해 기존 과정을 다시 게시해야 한다는 것입니다. 이 지침은 Desktop 릴리스 노트에서 실수로 누락되었습니다. CERT Coordination Center는 Lectora 소프트웨어의 유명 사용자들로 인해 이 사실을 알리고 있습니다.