Проблема была обнаружена в классной версии 0.1.13. Учетные записи студентов могут удалять курсы со страницы «Обзор» без каких-либо проверок авторизации или аутентификации, минуя ожидаемое ограничение на удаление только для администратора.
Показать оригинальное описание (EN)
An issue was discovered in classroomio 0.1.13. Student accounts are able to delete courses from the Explore page without any authorization or authentication checks, bypassing the expected admin-only deletion restriction.
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Нет
Нет утечки данных
Целостность
Высокое
Полная модификация данных
Доступность
Высокое
Полный отказ в обслуживании
Строка CVSS v3.1
Тип уязвимости (CWE)
Уязвимые продукты 1
| Конфигурация | От (включительно) | До (исключительно) |
|---|---|---|
|
Classroomio Classroomio
cpe:2.3:a:classroomio:classroomio:0.1.13:*:*:*:*:*:*:*
|
— | — |