CVE-2026-25876
KrytyczneStreszczenie
PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/results.routes.ts weryfikuje autoryzację, ale nie egzekwuje autoryzacji na poziomie obiektów, co pozwala na zwrócenie wszystkich wyników dla danego oceniania.
Ocena ryzyka
Brak odpowiednich kontroli autoryzacji na poziomie obiektów może prowadzić do nieautoryzowanego dostępu do wyników oceniania, co stwarza ryzyko ujawnienia poufnych informacji.
Rekomendacja
Zaleca się wprowadzenie odpowiednich kontroli autoryzacji na poziomie obiektów w celu zabezpieczenia dostępu do wyników oceniania.
Oryginalny opis (angielski, źródło NVD)
PlaciPy is a placement management system designed for educational institutions. In version 1.0.0, the backend/src/routes/results.routes.ts verify authentication but fails to enforce object-level authorization (ownership checks). For example, this can be used to return all results for an assessment.

