CVE-2026-35404 in openedx-platforminformação

Sumário

de VulDB • 09/05/2026

A plataforma Open edX permite a criação e a entrega de aprendizado online em qualquer escala. O endpoint view_survey aceita um parâmetro GET redirect_url que é passado diretamente para HttpResponseRedirect() sem qualquer validação de URL. Quando um nome de pesquisa inexistente é fornecido, o servidor emite um redirecionamento HTTP 302 imediato para a URL controlada pelo atacante. Além disso, a mesma URL não validada é incorporada em um campo de formulário oculto e retornada em uma resposta JSON após o envio do formulário, onde o JavaScript do lado do cliente executa location.href = url. Isso permite ataques de phishing e roubo de credenciais contra usuários autenticados do Open edX. Esta vulnerabilidade foi corrigida com o commit 76462f1e5fa9b37d2621ad7ad19514b403908970.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

Responsável

GitHub M

Reservar

02/04/2026

Divulgação

07/04/2026

Moderação

aceite

Entrada

VDB-355683

CPE

pronto

EPSS

0.00223

KEV

não

Atividades

muito baixo

Fontes

Do you know our Splunk app?

Download it now for free!