CVE-2026-42858— Open edX Platform 代码问题漏洞

CVSS 8.5 · High EPSS 0.03% · P9 更新于 2026-05-15

可能的 ATT&CK 技术 3AI

T1001 · Data Obfuscation T1071 · Application Layer Protocol T1560 · Archive Collected Data

影响版本矩阵 1

厂商	产品	版本范围	状态
openedx	openedx-platform	`< 6fda1f120ff5a590d120ae1180185525f399c6d0`	affected

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-42858 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Open edX Platform: Server-Side Request Forgery (SSRF) in SAML Provider Data Sync Endpoint

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Open edX Platform enables the authoring and delivery of online learning at any scale. The sync_provider_data endpoint in SAMLProviderDataViewSet allows authenticated Enterprise Admin users to supply an arbitrary URL via the metadata_url POST parameter. This URL is passed directly to requests.get() in fetch_metadata_xml() without any URL validation, IP filtering, or scheme enforcement. An attacker with Enterprise Admin privileges can force the server to make HTTP requests to internal network services, cloud metadata endpoints (e.g., AWS 169.254.169.254), or other attacker-controlled destinations. This vulnerability is fixed by commit 6fda1f120ff5a590d120ae1180185525f399c6d0 and 70a56246dd9c9df57c596e64bdd8a11b1d9da054.

来源: 美国国家漏洞数据库 NVD

CVSS Information

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:L/A:N

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

服务端请求伪造(SSRF)

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

Open edX Platform 代码问题漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

Open edX Platform是Open edX开源的一套开源的课程管理系统（CMS）。该系统可用于MOOCs（大规模网络开放课程）以及较小的课程和培训模块。 Open edX Platform存在代码问题漏洞，该漏洞源于SAMLProviderDataViewSet中sync_provider_data端点允许认证的企业管理员用户通过metadata_url参数提供任意URL，且未进行URL验证、IP过滤或方案强制，可能导致服务器向内部网络服务或云元数据端点发起HTTP请求。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
openedx	openedx-platform	< 6fda1f120ff5a590d120ae1180185525f399c6d0	-

二、漏洞 CVE-2026-42858 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-42858 的情报信息

请登录查看更多情报信息。

同批安全公告 · openedx · 2026-05-11 · 共 3 条

CVE-2026-42860	8.5 HIGH	EDX Open edX 代码问题漏洞
CVE-2026-42857	4.6 MEDIUM	Open edX Platform 跨站脚本漏洞

IV. Related Vulnerabilities

Same product: openedx-platform

Same vendor: openedx

Same weakness: CWE-918

V. Comments for CVE-2026-42858

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-42858— Open edX Platform 代码问题漏洞

可能的 ATT&CK 技术 3AI

影响版本矩阵 1

一、漏洞 CVE-2026-42858 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-42858 的公开POC

三、漏洞 CVE-2026-42858 的情报信息

同批安全公告 · openedx · 2026-05-11 · 共 3 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-42858

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-42858— Open edX Platform 代码问题漏洞

可能的 ATT&CK 技术 3AI

影响版本矩阵 1

一、 漏洞 CVE-2026-42858 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-42858 的公开POC

三、漏洞 CVE-2026-42858 的情报信息

同批安全公告 · openedx · 2026-05-11 · 共 3 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-42858

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-42858 基础信息