CVE-2026-42857 in openedx-platformالمعلومات

الملخص

بحسب VulDB • 22/05/2026

تتيح منصة Open edX إنشاء وتقديم التعلم عبر الإنترنت على أي نطاق. يفشل مُنقي HTML clean_thread_html_body() المستخدم في رسائل البريد الإلكتروني لإشعارات المناقشة في إزالة وسوم <script> من محتوى منشورات المناقشة التي ينشئها المستخدمون. يتم عرض هذا المحتوى باستخدام مرشح القوالب |safe في Django داخل قوالب إشعارات البريد الإلكتروني، مما يسمح لأي طالب مسجل بحقن CSS تعسفي في إشعارات البريد الإلكتروني المرسلة إلى مستخدمين آخرين. يتيح ذلك تتبع البريد الإلكتروني (الكشف عن عنوان IP)، وتزوير المحتوى، وهجمات التصيد الاحتيالي. تم إصلاح هذا الثغرة باستخدام الالتزام cddc25cd791bb78f76833896e4778f668861df12.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

GitHub M

حجز

30/04/2026

إفشاء

11/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-362689

CPE

جاهز

CWE

CWE-79 (مؤكد)

CVSS

4.6 (CNA)

EPSS

0.00030

KEV

لا

النشاطات

منخفض جدًا

المصادر

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-42857
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-42857
CVE Details	https://www.cvedetails.com/cve/CVE-2026-42857/

التالي ▸نظرة عامة ◂ السابق

Do you need the next level of professionalism?

Upgrade your account now!