CVE-2026-25962 Markus — эксплойт и детали уязвимости MEDIUM

CVE-2026-25962

MEDIUM CVSS 3.1: 6,5 EPSS 0.04%

Параметр	Значение
CVSS	6,5 (MEDIUM)
Устранено в версии	2.9.4
Тип уязвимости	CWE-409
Поставщик	Markus
Публичный эксплойт	Нет

MarkUs — это веб-приложение для отправки и оценки студенческих заданий. До версии 2.9.4 MarkUs в настоящее время извлекает zip-файлы без каких-либо ограничений по размеру или количеству записей. Например, преподаватели могут загрузить zip-файл с конфигурацией задания; Студенты могут загрузить zip-файл для отправки задания и указать, что его содержимое необходимо извлечь.

Эта проблема исправлена в версии 2.9.4.

Показать оригинальное описание (EN)

MarkUs is a web application for the submission and grading of student assignments. Prior to version 2.9.4, MarkUs currently extracts zip files without any size or entry-count limits. For example, instructors can upload a zip file to provide an assignment configuration; students can upload a zip file for an assignment submission and indicate its contents should be extracted. This issue has been patched in version 2.9.4.

Характеристики атаки

Способ атаки

По сети

Атака возможна удалённо

Сложность

Низкая

Легко эксплуатировать

Нужны права

Низкие

Нужны базовые права

Участие пользователя

Не требуется

Не нужно действие пользователя

Последствия

Конфиденциальность

Нет

Нет утечки данных

Целостность

Нет

Нет модификации данных

Доступность

Высокое

Полный отказ в обслуживании

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-409

Ссылки 2

https://github.com/MarkUsProject/Markus/releases/tag/v2.9.4

security-advisories@github.com

https://github.com/MarkUsProject/Markus/security/advisories/GHSA-x8xv-j7fc-65x5

security-advisories@github.com

Share Post Share Share Share

Связанные уязвимости

CVE-2026-27807

Markus

4,9

CVE-2026-28405