Серьезная уязвимость типа межсайтовый скриптинг (XSS), затрагивающая популярные платформы для создания электронных курсов Lectora Desktop и Lectora Online, была публично раскрыта. Ошибка безопасности позволяет злоумышленникам внедрять произвольный код JavaScript через специально сформированные параметры URL-адреса. Обнаруженная исследователем безопасности Мохаммадом Джассимом и официально задокументированная Центром координации CERT 22 сентября 2025 года, эта уязвимость представляет значительный риск для организаций, использующих данные продукты для обучения сотрудников.
Детали уязвимости
Уязвимость, получившая идентификатор CVE-2025-9125, существует в курсах, опубликованных с активированной опцией Seamless Play Publish (SPP) и отключенной функцией Веб-доступности. Под угрозой находятся Lectora Desktop версий с 21.0 по 21.3 (включая редакции Inspire и Publisher), а также Lectora Online вплоть до версии 7.1.6. Успешная эксплуатация уязвимости позволяет инициировать выполнение произвольного клиентского скрипта в контексте браузера пользователя. Это открывает возможности для перехвата сессионных файлов cookie, перенаправления обучающихся на фишинговые страницы или выполнения других вредоносных действий.
Особую озабоченность у экспертов по кибербезопасности вызывает тот факт, что для полного устранения угрозы недостаточно просто обновить программное обеспечение. Ключевым и обязательным шагом является повторная публикация всех курсов, созданных до установки исправлений. Lectora Desktop 21.4, выпущенная еще 25 октября 2022 года, содержит исправление этой уязвимости, однако в примечаниях к обновлению не было четкого указания на необходимость перепубликации существующих учебных материалов. Пользователи облачной платформы Lectora Online получили исправление автоматически с выходом версии 7.1.7 20 июля 2025 года, но это также не снимает необходимость обновления самих курсов.
Данный нюанс создает серьезные операционные риски, особенно для крупных предприятий и государственных учреждений, которые являются ключевыми клиентами Lectora. Такие организации часто имеют обширные библиотеки учебных модулей по комплаенсу, технике безопасности и корпоративным стандартам. Если администраторы не проведут тотальную перепубликацию всего исторического контента, уязвимые курсы останутся активными и смогут быть использованы злоумышленниками. Атака может быть инициирована путем рассылки целевым пользователям сгенерированной вредоносной ссылки на курс. При переходе по ней в браузере обучаемого выполнится опасный скрипт, что может привести к компрометации учетных данных для доступа к внутренним системам компании или утечке конфиденциальных данных, содержащихся в самих учебных модулях.
Для полного устранения рисков специалистам рекомендуется выполнить комплекс мер. Во-первых, необходимо обновить Lectora Desktop до версии 21.4 или новее, загрузив дистрибутив с официального портала portal.elblearning.com. После обновления требуется переопубликовать все курсы, созданные в версиях с 21.0 по 21.3. Во-вторых, пользователям Lectora Online следует убедиться, что их аккаунт использует версию 7.1.7 или выше, и также переопубликовать все курсы, созданные до 20 июля 2025 года. В-третьих, в качестве дополнительной меры предосторожности целесообразно пересмотреть настройки публикации. Активация функции Веб-доступности, которая была одним из факторов, способствующих уязвимости, может повысить общую безопасность контента. Следование лучшим практикам безопасной публикации курсов становится критически важным.
Раскрытие этой уязвимости подчеркивает более широкую проблему безопасности в сфере образовательных технологий, где обновление самой платформы не всегда автоматически исправляет уже развернутый контент. Организациям, использующим подобные системы, необходимо внедрять строгие процедуры управления жизненным циклом учебных материалов, включающие обязательную перепубликацию после выхода критических исправлений безопасности. Игнорирование этого требования может свести на нет все усилия по защите корпоративной инфраструктуры и привести к существенным репутационным и финансовым потерям.
Ссылки
- https://kb.cert.org/vuls/id/780141
- https://knowledgebase.elblearning.com/statement-from-elb-learning-regarding-limited-scope-javascript-injection
