Katalog CVE

CVE-2026-25875

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 middleware autoryzacji administratora ufa roszczeniom JWT kontrolowanym przez klienta (rola i zakres), nie wymuszając weryfikacji ról po stronie serwera.

Ocena ryzyka

Brak weryfikacji ról po stronie serwera może prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.

Rekomendacja

Zaleca się wprowadzenie serwerowej weryfikacji ról w middleware autoryzacji, aby zapewnić odpowiedni poziom bezpieczeństwa i kontroli dostępu.

Oryginalny opis (angielski, źródło NVD)

PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, The admin authorization middleware trusts client-controlled JWT claims (role and scope) without enforcing server-side role verification.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS