Open edX Platform में सर्वे व्यूज़ में एक ओपन रीडायरेक्ट है, जो अनवैलिडेटेड (Unvalidated) redirect_url पैरामीटर के माध्यम से होता है

Open edX Platform किसी भी पैमाने पर ऑनलाइन लर्निंग के निर्माण और वितरण को सक्षम बनाता है। view_survey एंडपॉइंट एक redirect_url GET पैरामीटर स्वीकार करता है जिसे HttpResponseRedirect() में किसी भी URL सत्यापन के बिना सीधे पास किया जाता है। जब कोई गैर-मौजूद सर्वे नाम प्रदान किया जाता है, तो सर्वर हमलावर-नियंत्रित URL पर तत्काल HTTP 302 रीडायरेक्ट जारी करता है। इसके अतिरिक्त, समान अनवैलिडेटेड (Unvalidated) URL को एक छिपे हुए फॉर्म फ़ील्ड में एम्बेड किया जाता है और फॉर्म सबमिशन के बाद एक JSON प्रतिक्रिया में लौटाया जाता है, जहां क्लाइंट-साइड जावास्क्रिप्ट location.href = url करता है। यह प्रमाणित Open edX उपयोगकर्ताओं के खिलाफ फ़िशिंग और क्रेडेंशियल चोरी हमलों को सक्षम बनाता है। यह भेद्यता कमिट 76462f1e5fa9b37d2621ad7ad19514b403908970 के साथ ठीक की गई है।