CVE-2026-25876
CriticalSummary
PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/results.routes.ts weryfikuje autoryzację, ale nie egzekwuje autoryzacji na poziomie obiektów, co pozwala na zwrócenie wszystkich wyników dla danego oceniania.
Risk Assessment
Brak odpowiednich kontroli autoryzacji na poziomie obiektów może prowadzić do nieautoryzowanego dostępu do wyników oceniania, co stwarza ryzyko ujawnienia poufnych informacji.
Recommendation
Zaleca się wprowadzenie odpowiednich kontroli autoryzacji na poziomie obiektów w celu zabezpieczenia dostępu do wyników oceniania.
Original NVD description (English source)
PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, the backend/src/routes/results.routes.ts verify authentication but fails to enforce object-level authorization (ownership checks). For example, this can be used to return all results for an assessment.

