CVE-2026-25811
KrytyczneStreszczenie
PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 aplikacja pobiera identyfikator najemcy bezpośrednio z domeny e-mail podanej przez użytkownika, nie weryfikując własności ani rejestracji domeny, co umożliwia dostęp do danych między najemcami.
Ocena ryzyka
Brak weryfikacji własności domeny stwarza ryzyko nieautoryzowanego dostępu do danych innych najemców, co może prowadzić do naruszenia prywatności i bezpieczeństwa danych.
Rekomendacja
Zaleca się wprowadzenie mechanizmu weryfikacji własności domeny przed przyznaniem dostępu do danych, aby zminimalizować ryzyko nieautoryzowanego dostępu.
Oryginalny opis (angielski, źródło NVD)
PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, the application derives the tenant identifier directly from the email domain provided by the user, without validating domain ownership or registration. This allows cross-tenant data access.

