CVE-2026-25875
KrytyczneStreszczenie
PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 middleware autoryzacji administratora ufa roszczeniom JWT kontrolowanym przez klienta (rola i zakres), nie wymuszając weryfikacji ról po stronie serwera.
Ocena ryzyka
Brak weryfikacji ról po stronie serwera może prowadzić do nieautoryzowanego dostępu do funkcji administracyjnych, co stwarza poważne zagrożenie dla bezpieczeństwa systemu.
Rekomendacja
Zaleca się wprowadzenie serwerowej weryfikacji ról w middleware autoryzacji, aby zapewnić odpowiedni poziom bezpieczeństwa i kontroli dostępu.
Oryginalny opis (angielski, źródło NVD)
PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, The admin authorization middleware trusts client-controlled JWT claims (role and scope) without enforcing server-side role verification.

