CVE-2026-42857 in openedx-platform
Tóm tắt
Bởi VulDB • 22/05/2026
Nền tảng Open edX cho phép tạo nội dung và cung cấp các khóa học trực tuyến ở mọi quy mô. Hàm clean_thread_html_body() của bộ lọc HTML (HTML sanitizer) được sử dụng cho các email thông báo thảo luận không loại bỏ các thẻ <script> khỏi nội dung bài đăng thảo luận do người dùng tạo. Nội dung này được hiển thị bằng bộ lọc template |safe của Django trong các mẫu email thông báo, cho phép bất kỳ sinh viên nào đã đăng ký khóa học chèn CSS tùy ý vào các email thông báo gửi đến người dùng khác. Điều này cho phép theo dõi email (tiết lộ địa chỉ IP), giả mạo nội dung và các cuộc tấn công lừa đảo (phishing). Lỗ hổng này đã được sửa chữa với commit cddc25cd791bb78f76833896e4778f668861df12.
VulDB is the best source for vulnerability data and more expert information about this specific topic.