CVE-2025-70146
KrytyczneStreszczenie
Brak uwierzytelnienia w wielu skryptach administracyjnych w ProjectWorlds Online Time Table Generator 1.0 umożliwia zdalnym atakującym wykonywanie nieautoryzowanych operacji administracyjnych, takich jak dodawanie lub usuwanie rekordów, poprzez bezpośrednie żądania HTTP do dotkniętych punktów końcowych bez ważnej sesji.
Ocena ryzyka
Organizacja jest narażona na nieautoryzowane zmiany w danych, co może prowadzić do utraty integralności systemu oraz potencjalnych strat finansowych i reputacyjnych.
Rekomendacja
Zaleca się wdrożenie mechanizmów uwierzytelniania dla wszystkich skryptów administracyjnych oraz monitorowanie dostępu do tych punktów końcowych.
Oryginalny opis (angielski, źródło NVD)
Missing authentication in multiple administrative action scripts under /admin/ in ProjectWorlds Online Time Table Generator 1.0 allows remote attackers to perform unauthorized administrative operations (e.g.,adding records, deleting records) via direct HTTP requests to affected endpoints without a valid session.

