用户希望我总结提供的网页截图,内容关于一个名为“IDOR in Gradebook”的安全漏洞。 我需要提取以下关键信息: 1. 漏洞概述 (Vulnerability Overview): 这是一个IDOR(不安全的直接对象引用)漏洞,允许授权教师跨课程删除任何学生的成绩。 2. 影响范围 (Impact/Scope): 受影响的版本是 Chamillo LMS 漏洞总结:Chamillo LMS IDOR漏洞 漏洞概述 这是一个IDOR(不安全的直接对象引用)漏洞。在Chamillo LMS的gradebook结果视图页面中,允许授权教师通过操纵 或 GET参数,跨整个平台删除任何学生的成绩结果,而无需验证请求者是否有该课程的权限。 影响范围 受影响版本: Chamillo LMS <= 2.0.RC.2 修复版本: 2.0.RC.3 漏洞详情 漏洞代码路径: 问题描述: 文件包含两个代码路径允许删除成绩,但未验证请求者是否有权威。 : 允许通过ID加载任何结果并删除。 : 允许通过ID加载任何结果并删除,且未检查结果是否存在(导致PHP致命错误)。 POC (利用代码)