关键信息 漏洞类型 Broken Access Control 漏洞描述 在 端点中发现了访问控制漏洞。 该漏洞允许没有适当权限的用户绕过授权检查,访问受限功能。 漏洞细节 易受攻击的端点: 认证要求: 必须 应用程序在授予对端点的访问权限之前未能正确验证用户权限。因此,即使是低权限用户也能成功访问仅限于授权用户的功能。 PoC (概念验证) 1. 以非特权用户身份进行身份验证。 2. 发送以下请求: 3. 观察到可以访问页面和功能,而该用户不应该这样做。 影响 未经授权访问受限功能 低级别用户的权限升级 敏感数据暴露和潜在系统妥协 教育记录的机密性和完整性丧失 对组织的声誉损害 参考资料 CVE-2025-11049 VulnDB-326086 I-Educar - Official Repository 发现者 Marcelo Queiroz CVE-Hunters