关键信息 漏洞概述 漏洞类型: Broken Access Control 受影响的端点: 应用: I-Educar 细节 易受攻击的端点: 认证要求: 需要认证 问题描述: 应用未能正确验证用户权限,导致低权限用户可以访问仅限特定用户的功能。 证明概念 (PoC) 1. 步骤1: 以非特权用户身份进行认证。 2. 步骤2: 发送以下请求: 3. 结果: 用户能够访问页面并执行批量取消学生班级分配的功能,这是他们不应该做的。 影响 未经授权访问受限功能 低权限用户的权限升级 敏感数据暴露和潜在系统妥协 教育记录的机密性和完整性丧失 对组织的声誉损害 参考资料 CVE-2025-10608 VulnDB-324628 I-Educar - Official Repository 发现者 Marcelo Queiroz CVE-Hunters