关键信息 漏洞类型 Broken Access Control 漏洞描述 在 端点中发现了访问控制漏洞。 该漏洞允许没有适当权限的用户绕过授权检查,访问受限功能。 漏洞端点 认证要求 需要认证 影响 未经授权访问受限功能 低级别用户的权限提升 敏感数据暴露和潜在系统妥协 教育记录的机密性和完整性丧失 对组织的声誉损害 PoC (概念验证) 1. 以非特权用户身份进行身份验证。 2. 发送以下请求: 3. 观察到可以访问页面和批量分配学生到班级的功能,而该用户不应该有此权限。 参考资料 CVE-2023-10070 VulnDB-323718 I-Educar - Official Repository 发现者 Marcelo Queiroz