CVE-2026-25875
CriticalSummary
PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 middleware autoryzacji administratora ufa roszczeniom JWT kontrolowanym przez klienta (rola i zakres), nie wymuszając weryfikacji ról po stronie serwera.
Risk Assessment
Brak weryfikacji ról po stronie serwera może prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Recommendation
Zaleca się wprowadzenie serwerowej weryfikacji ról w middleware autoryzacji, aby zapewnić odpowiedni poziom bezpieczeństwa i kontroli dostępu.
Original NVD description (English source)
PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, The admin authorization middleware trusts client-controlled JWT claims (role and scope) without enforcing server-side role verification.

