跨站脚本漏洞影响Lectora课程导航

概述

Lectora桌面版21.0-21.3和Lectora在线版7.1.6及更早版本中，在使用无缝播放发布(SPP)启用且Web可访问性禁用的情况下发布的课程存在跨站脚本(XSS)漏洞。该漏洞最初在Lectora桌面版21.4（2022年10月25日发布）中修复，但用户必须重新发布现有课程才能应用补丁。这一重要的重新发布说明在桌面版发布说明中缺失，但包含在最近修复的Lectora在线版（2025年7月20日）的发布说明中。

漏洞描述

Lectora平台由ELB Learning开发，用于创建和发布交互式电子学习课程。Lectora Inspire和Lectora Publisher是桌面版电子学习软件，Lectora Online是基于云的版本。

受影响版本

• Lectora Inspire和Lectora Publisher桌面版21.0-21.3
• Lectora Online 7.1.6及更早版本

影响

在受影响版本中，启用无缝播放发布(SPP)且禁用Web可访问性设置的内容可能允许通过精心构造的URL参数进行JavaScript注入。在此场景下的利用可能导致客户端脚本执行（例如警报或重定向），这会带来会话劫持或用户重定向的风险。

解决方案

该漏洞已在Lectora桌面版（Publisher和Inspire版本21.4，2022年10月25日发布）和Lectora Online（版本7.1.7，2025年7月20日部署）中得到修复。要完全实施解决方案：

• 对于Lectora桌面版客户：请从portal.elblearning.com下载版本21.4补丁或更高更新。然后必须重新发布使用旧版软件创建的任何课程。
• 对于Lectora Online客户：版本7.1.7的更新已于2025年7月20日自动应用。必须重新发布使用旧版软件创建的任何课程。

致谢

感谢报告者Mohammad Jassim报告此漏洞。本文档由Laurie Tyzenhaus编写。

供应商信息

ELB Learning已修复此问题，该问题在某些情况下可能允许攻击者通过注入参数在用户会话上下文中执行任意JavaScript。

受影响产品：Lectora Desktop 21（版本21.4之前）和Lectora Online（2025年7月20日发布的版本7.1.7之前）。如果在项目选项中设置了Web可访问性，或者课程发布时禁用了无缝播放发布(SPP)，则该课程不受此漏洞影响。

CVSS评分：6.1（CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N）

参考信息

• CVE ID：CVE-2025-9125
• 公开日期：2025年9月22日
• 首次发布：2025年9月22日
• 最后更新：2025年9月22日 14:44 UTC
• 文档版本：1