CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-25875

Critical
Published: Translated: NVD NIST

Summary

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 middleware autoryzacji administratora ufa roszczeniom JWT kontrolowanym przez klienta (rola i zakres), nie wymuszając weryfikacji ról po stronie serwera.

Risk Assessment

Brak weryfikacji ról po stronie serwera może prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Recommendation

Zaleca się wprowadzenie serwerowej weryfikacji ról w middleware autoryzacji, aby zapewnić odpowiedni poziom bezpieczeństwa i kontroli dostępu.

Original NVD description (English source)

PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, The admin authorization middleware trusts client-controlled JWT claims (role and scope) without enforcing server-side role verification.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS