CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2025-70146

Critical
Published: Translated: NVD NIST

Summary

Brak uwierzytelnienia w wielu skryptach administracyjnych w ProjectWorlds Online Time Table Generator 1.0 umożliwia zdalnym atakującym wykonywanie nieautoryzowanych operacji administracyjnych, takich jak dodawanie lub usuwanie rekordów, poprzez bezpośrednie żądania HTTP do dotkniętych punktów końcowych bez ważnej sesji.

Risk Assessment

Organizacja jest narażona na nieautoryzowane zmiany w danych, co może prowadzić do utraty integralności systemu oraz potencjalnych strat finansowych i reputacyjnych.

Recommendation

Zaleca się wdrożenie mechanizmów uwierzytelniania dla wszystkich skryptów administracyjnych oraz monitorowanie dostępu do tych punktów końcowych.

Original NVD description (English source)

Missing authentication in multiple administrative action scripts under /admin/ in ProjectWorlds Online Time Table Generator 1.0 allows remote attackers to perform unauthorized administrative operations (e.g.,adding records, deleting records) via direct HTTP requests to affected endpoints without a valid session.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS