Um novo problema de segurança foi identificado na plataforma de autoria de cursos Lectora, da ELB Learning, que permite a injeção de JavaScript malicioso através de parâmetros de URL manipulados. Essa vulnerabilidade afeta as versões 21.0 a 21.3 do Lectora Desktop e versões 7.1.6 e anteriores do Lectora Online, expondo usuários a riscos como sequestro de sessão e redirecionamento para sites maliciosos. O CERT Coordination Center (CERT/CC) emitiu uma nota de vulnerabilidade (VU#780141) para alertar sobre a situação e as etapas necessárias para remediação. Embora a falha tenha sido corrigida na versão 21.4 do Lectora Desktop, muitos cursos permanecem vulneráveis, pois a republicação não foi explicitamente exigida nas notas de lançamento. Para mitigar a vulnerabilidade, a ELB Learning recomenda que os usuários do Lectora Desktop atualizem para a versão 21.4 ou posterior e republicem seus cursos. Administradores do Lectora Online devem garantir que o conteúdo publicado antes da atualização automática de 20 de julho de 2025 seja republicado. A ativação das opções de Acessibilidade Web também é aconselhada para reduzir a exposição a essa vulnerabilidade.
Fonte: https://cyberpress.org/lectora-desktop-online-vulnerable/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
23/09/2025 • Risco: ALTO
VULNERABILIDADE
Lectora Desktop e Online Vulneráveis a XSS Refletido via Parâmetros de URL
RESUMO EXECUTIVO
A vulnerabilidade XSS na plataforma Lectora pode resultar em acesso não autorizado a dados sensíveis, exigindo que as organizações atualizem e republiquem seus cursos para garantir a segurança. A correção está disponível, mas a falta de republicação pode deixar os cursos vulneráveis.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido a sequestro de dados e danos à reputação.
Operacional
Possibilidade de sequestro de sessão e redirecionamento para sites maliciosos.
Setores vulneráveis
['Educação', 'Governo', 'Empresas de grande porte']
📊 INDICADORES CHAVE
Afeta versões 21.0 a 21.3 do Lectora Desktop e versões 7.1.6 e anteriores do Lectora Online.
Indicador
Vulnerabilidade pode expor clientes de alto valor, como agências governamentais.
Contexto BR
A correção foi disponibilizada em 25 de outubro de 2022 para Lectora Desktop.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar se a versão do Lectora Desktop é 21.4 ou superior.
2
Atualizar para a versão mais recente e republicar cursos existentes.
3
Monitorar continuamente a segurança de plataformas de e-learning e a conformidade com a LGPD.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de plataformas de e-learning, especialmente em organizações que lidam com dados sensíveis.
⚖️ COMPLIANCE
Implicações para a conformidade com a LGPD, especialmente em relação à proteção de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
