关键信息 漏洞类型 Broken Function Level Authorization (BFLA) 影响的API matricula API of the I-Educar application 漏洞描述 允许低权限用户通过操纵请求参数删除任意学生注册的“abandono”(退学)状态。 易受攻击的端点 GET /modulo/api/aluno 证明概念 (PoC) 1. 以非特权用户身份进行身份验证。 2. 发送以下请求: 3. 观察到删除成功。 影响 未经授权删除学术记录:任何低权限或被破坏的帐户可以删除关键状态信息(例如,“abandono”)从学生注册中。 完整性违规:启用篡改学术数据,可能影响官方记录。 参考 CVE-2025-9760 VulDB-322061 I-Educar - Official Repository 发现者 Marcelo Quiroz by CVE-Hunters