CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25057

Critical
Published: Translated: NVD NIST

Summary

MarkUs to aplikacja webowa do składania i oceniania prac studentów. W wersjach przed 2.9.1, instruktorzy mogli przesyłać plik zip, aby utworzyć zadanie z wyeksportowanej konfiguracji, co prowadziło do możliwości zapisu plików na dysku bez odpowiedniej weryfikacji ścieżek.

Risk Assessment

Brak weryfikacji ścieżek może prowadzić do nieautoryzowanego dostępu do systemu plików, co stwarza ryzyko dla integralności i poufności danych w organizacji.

Recommendation

Zaleca się aktualizację aplikacji MarkUs do wersji 2.9.1 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

MarkUs is a web application for the submission and grading of student assignments. Prior to 2.9.1, instructors are able to upload a zip file to create an assignment from an exported configuration (courses/<:course_id>/assignments/upload_config_files). The uploaded zip file entry names are used to create paths to write files to disk without checking these paths. This vulnerability is fixed in 2.9.1.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS