Katalog CVE

CVE-2025-65670

ŚrednieCVSS 4.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 12 - wyżej niż 12% wszystkich znanych CVE

Streszczenie

W classroomio 0.1.13 wykryto podatność IDOR, która umożliwia studentom dostęp do wrażliwych endpointów administratora/nauczyciela poprzez manipulację identyfikatorami kursów w URL. Prowadzi to do chwilowego ujawnienia poufnych danych kursów, administratorów i studentów, zanim system przywróci normalne ograniczenia dostępu.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do danych administracyjnych i danych innych użytkowników, co może naruszyć poufność systemu i doprowadzić do wycieku wrażliwych informacji.

Rekomendacja

Należy natychmiast zaktualizować classroomio do najnowszej wersji łatającej tę podatność oraz wdrożyć mechanizmy autoryzacji na wszystkich endpointach, aby zapobiec manipulacji identyfikatorami.

Oryginalny opis (angielski, źródło NVD)

An Insecure Direct Object Reference (IDOR) in classroomio 0.1.13 allows students to access sensitive admin/teacher endpoints by manipulating course IDs in URLs, resulting in unauthorized disclosure of sensitive course, admin, and student data. The leak occurs momentarily before the system reverts to a normal state restricting access.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS