ProjectWorlds Online Time Table Generator 1.0 缺失认证漏洞 (CVE-2025-70146)

关键信息 漏洞概要 CVE ID: CVE-2025-70146 产品: Online Time Table Generator 1.0 厂商: ProjectWorlds 漏洞类型: Broken Access Control / Missing Authentication 攻击向量: Remote, Unauthenticated CVSS v3.1: 3.1 CWE: CWE-306, CWE-862 发现者: MinhKhoa 日期: 2025-12-22 描述 ProjectWorlds Online Time Table Generator 1.0 中存在多个管理删除脚本在/admin/中存在不正确的访问控制/缺失身份验证漏洞。由于这些端点没有强制执行身份验证或授权检查，远程未认证攻击者可以通过使用预期的标识符参数直接请求脚本执行删除操作。 受影响端点（不完全列表） /admin/deleteteacher.php?teacher_id=... /admin/deletesubject.php?subject_id=... /admin/deletesemester.php?sem_id=... /admin/deletecourse.php?course_id=... /admin/deletestudent.php?stu_id=... /admin/delete_timetable.php?timeschedule_id=... 影响 未经授权的数据删除：攻击者可以删除学生、教师、课程/部门、学期、科目和时间表条目。 服务拒绝：攻击者可以通过删除核心数据破坏时间表生成和管理。 修复建议 1. 在每个/admin/delete*.php脚本的开头强制认证。 2. 偏好POST + CSRF保护进行破坏性操作。 3. 使用参数化查询（多层防御）。

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

ProjectWorlds Online Time Table Generator 1.0 缺失认证漏洞 (CVE-2025-70146)

目标达成感谢每一位支持者 — 我们达成了 100% 目标！