Hem Lectora masaüstünü hem de Lectora’yı etkileyen kritik bir siteler arası komut dosyası (XSS) güvenlik açığı açıklandı ve saldırganların hazırlanmış URL parametreleri aracılığıyla JavaScript’i enjekte etmelerini sağladı.
Güvenlik Araştırmacısı Mohammad Jassim tarafından keşfedilen ve 22 Eylül 2025 tarihinde CERT® Koordinasyon Merkezi tarafından belgelenen bu kusur, müşteri tarafı kod yürütme, oturum kaçırma ve kullanıcı yeniden yönlendirme riski oluşturur.
Güvenlik Açığı Detayları ve Etkilenen Sürümler
XSS zayıflığı, Seamless Play Publish (SPP) etkinleştirilmiş ve Web Erişilebilirliği devre dışı bırakılan kurslarda mevcuttur.
| CVE tanımlayıcısı | Etkilenen ürünler | Güvenlik açığı |
| CVE-2025-9125 | Masaüstü Okuyucu 21.0–21.3 Çevrimiçi okuyucu ≤7.1.6 |
Hazırlanmış URL parametreleri aracılığıyla XSS, JavaScript enjeksiyonuna izin vererek uyarmaya veya yeniden yönlendirmeye, oturum kaçırma veya kullanıcı yeniden yönlendirilmesine yol açar. |
Lectora Desktop Editions 21.0 ila 21.3 (Inspire and Publisher) ve Lectora 7.1.6 sürümüne kadar çevrimiçi etkilenir.
Lectora Desktop 21.4, bu sorunu ele almak için 25 Ekim 2022’de yayınlanmış olsa da, güncelleme notları kullanıcılara mevcut dersleri yeniden yayınlamalarını açıkça bildirmedi.
Lectora Online kullanıcıları, 7.1.7 sürümü 20 Temmuz 2025’te yayınlandığında düzeltmeyi otomatik olarak aldı.
Yeniden yayınlanması çok önemlidir, çünkü yama uygulamadan önce oluşturulan veya yayınlanan kurslar güvenlik açığını içermeye devam eder.
Devlet kurumları ve büyük işletmeler de dahil olmak üzere yüksek profilli müşteriler, eski içeriği yeniden yayınlamamışlarsa kullanıcılarını bilmeden açığa çıkarabilirler.
Kullanıldığında, güvenlik açığı kullanıcının tarayıcısı bağlamında keyfi istemci tarafı komut dosyası yürütülmesini tetikleyebilir.
Saldırganlar, bir kurs katılımcısı tarafından tıklandığında, oturum çerezlerini ele geçirebilen veya kullanıcıyı kimlik avı sayfasına yönlendirebilen kötü amaçlı kod çalıştıran bir URL oluşturabilir.
Birçok kuruluş eğitim ve uyum modülleri için Lectora’ya güvendiğinden, başarılı sömürü tehlikeye atılmış kimlik bilgilerine veya hassas eğitim verilerine yetkisiz erişime yol açabilir.
Bu sorunu tam olarak düzeltmek için yöneticiler:
- Readora masaüstünü güncelle – Portal.elblearning.com’dan 21.4 veya sonraki sürümleri indirin ve yükleyin. Yükseltildikten sonra, yamayı mevcut içeriğe uygulamak için 21.0 ila 21.3 sürümleriyle oluşturulan tüm kursları yeniden yayınlayın.
- Çevrimiçi okuyucuyu doğrulayın – Hesabınızın 7.1.7 veya daha yeni sürüm çalıştırdığından emin olun. Güncelleme 20 Temmuz 2025’te otomatik olarak uygulanmış olmasına rağmen, bu XSS kusuruna karşı güvence altına almak için o tarihten önce oluşturulan dersleri yeniden yayınlamanız gerekir.
- Yayınlama ayarlarını inceleyin – Kuruluşunuz Web Erişilebilirlik Özelliklerine güveniyorsa, bu ayarları etkinleştirmeyi düşünün, çünkü bunları devre dışı bırakmak güvenlik açığına katkıda bulunur. Güvenli kurs yayını için her zaman en iyi uygulamaları izleyin.
Bu güvenlik açığı notu, Laurie Tyzenhaus tarafından raporlama için Muhammed Jassim’e kredi ile üretildi.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.