关键漏洞信息 漏洞标题 Hard-Coded Default Password for All Student Accounts (Account Takeover) 漏洞ID CVE-2026-25753 严重性 Critical 影响范围 受影响版本: bug fixed Latest 1.01 补丁版本: None 描述 摘要 应用程序为所有新创建的学生帐户使用硬编码的静态默认密码。一旦密码被知道,这会导致大规模帐户接管,允许任何攻击者以任何学生身份登录。 影响组件 文件: backend/src/services/StudentService.ts 函数: createCognitoUser 行数: 63-64 根因分析 根源是一个不安全的认证设计决策: 使用一个硬编码的密码为所有学生帐户 密码被直接存储在源代码中 以明文形式记录 被设置为永久密码 没有针对每个用户的密码随机化 登录时没有强制密码重置 安全影响 此漏洞允许大规模帐户接管: 任何攻击者可以使用已知密码作为任何学生进行认证 未经授权访问敏感数据 访问受限制的仅学生端点 合规影响 违反 OWASP A07:2021 - 识别和认证失败 潜在的FERPA/GDPR违规 修复建议 立即移除硬编码的密码 生成唯一、加密安全的密码 只使用临时密码(首次登录时强制重置) 从不记录凭证 通过AWS Cognito强制执行密码政策 通过安全、过期的邮件链接提供凭证 立即轮换任何受损的凭证 披露说明 虫子赏金资格: 是 值得CVE: 是(大规模影响的身份验证设计漏洞) 攻击复杂度: 低 可利用性: 立即