发布日期：2022-06-09
更新日期：2022-08-11

受影响系统：

Rusici Software Rusici Software SCORM Engine < 21.1.7.219
Rusici Software Rusici Software SCORM Engine < 20.1.45.914

描述：

---

CVE(CAN) ID: CVE-2022-2035

Rusici Software SCORM Engine是美国Rusici Software公司的一个可集成的学习标准平台。为学习应用程序提供通用API以正确导入、启动和跟踪标准化的电子学习内容。
Rusici Software SCORM Engine 20.1.45.914之前版本和21.1.7.219之前版本的/defaultui/player/modern.html文件中的playerConfUrl参数存在跨站脚本漏洞，该漏洞源于程序未对用户提供的URL的域或格式进行正确限制。攻击者可利用该漏洞以用户浏览器权限借助特制的恶意URL执行跨站脚本攻击。

<**>

建议：

---

厂商补丁：

Rusici Software
---------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.tenable.com/security/research/tra-2022-21

浏览次数：577
严重程度：0（网友投票）