CVE-2025-65670
ŚrednieCVSS 4.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 12 - wyżej niż 12% wszystkich znanych CVE
Streszczenie
W classroomio 0.1.13 wykryto podatność IDOR, która umożliwia studentom dostęp do wrażliwych endpointów administratora/nauczyciela poprzez manipulację identyfikatorami kursów w URL. Prowadzi to do chwilowego ujawnienia poufnych danych kursów, administratorów i studentów, zanim system przywróci normalne ograniczenia dostępu.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do danych administracyjnych i danych innych użytkowników, co może naruszyć poufność systemu i doprowadzić do wycieku wrażliwych informacji.
Rekomendacja
Należy natychmiast zaktualizować classroomio do najnowszej wersji łatającej tę podatność oraz wdrożyć mechanizmy autoryzacji na wszystkich endpointach, aby zapobiec manipulacji identyfikatorami.
Oryginalny opis (angielski, źródło NVD)
An Insecure Direct Object Reference (IDOR) in classroomio 0.1.13 allows students to access sensitive admin/teacher endpoints by manipulating course IDs in URLs, resulting in unauthorized disclosure of sensitive course, admin, and student data. The leak occurs momentarily before the system reverts to a normal state restricting access.

