VU#780141: Уязвимость межсайто... Заметка

VU#780141: Уязвимость межсайтового скриптинга в навигации курсов Lectora

Уязвимость межсайтового скриптинга существует в старых версиях Lectora Desktop и Lectora Online. В частности, затронуты версии Lectora Desktop с 21.0 по 21.3 и версии Lectora Online 7.1.6 и старше. Эта уязвимость возникает в курсах, опубликованных с включенной функцией Seamless Play Publish и отключенной функцией Web Accessibility. Использование этого недостатка позволяет внедрять JavaScript через специально созданные параметры URL. Такая атака может привести к перехвату сессии или перенаправлению пользователя. Уязвимость была устранена в версии Lectora Desktop 21.4, выпущенной 25 октября 2022 года. Lectora Online также получила исправление, версия 7.1.7, развернутая 20 июля 2025 года. Важно отметить, что пользователи должны переопубликовать свои существующие курсы, чтобы применить эти исправления. Эта инструкция была ошибочно опущена в примечаниях к выпуску Desktop. Координационный центр CERT повышает осведомленность из-за известных пользователей программного обеспечения Lectora.