关键信息 漏洞类型 Broken Access Control 漏洞描述 在i-Educar应用程序的/exportacao-para-o-seb端点中发现了一个访问控制漏洞。 该漏洞允许没有适当权限的用户绕过授权检查,访问受限功能。 漏洞细节 易受攻击的端点: POST /exportacao-para-o-seb 认证要求: 必须进行身份验证 PoC (概念验证) 1. 以非特权用户身份进行身份验证。 2. 发送以下请求: 3. 观察到响应中附带了一个文件。此用户不应执行此请求。 影响 未经授权访问受限功能 低级别用户的权限提升 敏感数据暴露和潜在系统妥协 教育记录的机密性和完整性丧失 对组织的声誉损害 参考资料 CVE-2025-10013 VulnDB-32738 I-Educar - Official Repository 发现者 Marcelo Queiroz