Проблема была обнаружена в системе онлайн-экзаменов SpeedExam (SaaS) после версии FEV2026. Он позволяет сломать контроль доступа с помощью метода PageMethod ASP.NET ReviewAnswerDetails. Злоумышленники, прошедшие проверку подлинности, могут обойти ограничения на стороне клиента и напрямую вызвать этот метод для получения полного ключа ответа.
Показать оригинальное описание (EN)
An issue was discovered in SpeedExam Online Examination System (SaaS) after v.FEV2026. It allows Broken Access Control via the ReviewAnswerDetails ASP.NET PageMethod. Authenticated attackers can bypass client-side restrictions and invoke this method directly to retrieve the full answer key. The provider states that this issue is "Fixed in [02/2026] backend service update."
Характеристики атаки
Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя
Последствия
Конфиденциальность
Высокое
Полная утечка данных
Целостность
Высокое
Полная модификация данных
Доступность
Нет
Нет нарушения работы
Строка CVSS v3.1