CVE-2025-70146
CriticalSummary
Brak uwierzytelnienia w wielu skryptach administracyjnych w ProjectWorlds Online Time Table Generator 1.0 umożliwia zdalnym atakującym wykonywanie nieautoryzowanych operacji administracyjnych, takich jak dodawanie lub usuwanie rekordów, poprzez bezpośrednie żądania HTTP do dotkniętych punktów końcowych bez ważnej sesji.
Risk Assessment
Organizacja jest narażona na nieautoryzowane zmiany w danych, co może prowadzić do utraty integralności systemu oraz potencjalnych strat finansowych i reputacyjnych.
Recommendation
Zaleca się wdrożenie mechanizmów uwierzytelniania dla wszystkich skryptów administracyjnych oraz monitorowanie dostępu do tych punktów końcowych.
Original NVD description (English source)
Missing authentication in multiple administrative action scripts under /admin/ in ProjectWorlds Online Time Table Generator 1.0 allows remote attackers to perform unauthorized administrative operations (e.g.,adding records, deleting records) via direct HTTP requests to affected endpoints without a valid session.

