CVE-2026-42857

Nome do Software Vulnerável e Versões Afetadas Open edX Platform (versões afetadas não especificadas)

Descrição A função de sanitização HTML clean thread html body() usada para e-mails de notificação de discussão não remove tags <style> de conteúdos de postagens de discussão gerados por usuários. Como esse conteúdo é renderizado usando o filtro de template |safe do Django em templates de notificação por e-mail, um aluno matriculado pode injetar CSS arbitrário em e-mails enviados a outros usuários. Isso pode levar a falsificação de conteúdo, ataques de phishing e rastreamento de e-mail, o que pode expor endereços IP.

Recomendações Aplique a correção fornecida no commit cddc25cd791bb78f76833896e4778f668861df12.