Open edX Platform possui um Open Redirect em Visualizações de Pesquisas via Parâmetro redirect_url não validado

Open edX Platform permite a criação e entrega de aprendizado online em qualquer escala. O endpoint view_survey aceita um parâmetro GET redirect_url que é passado diretamente para HttpResponseRedirect() sem nenhuma validação de URL. Quando um nome de pesquisa inexistente é fornecido, o servidor emite um redirecionamento HTTP 302 imediato para a URL controlada pelo atacante. Adicionalmente, a mesma URL não validada é incorporada em um campo de formulário oculto e retornada em uma resposta JSON após o envio do formulário, onde o JavaScript do lado do cliente executa location.href = url. Isso permite ataques de phishing e roubo de credenciais contra usuários autenticados do Open edX. Esta vulnerabilidade é corrigida com o commit 76462f1e5fa9b37d2621ad7ad19514b403908970.