Zgłoś incydent
Cofnij
Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!
Projekty
n6 Artemis MWDB

Podatność w oprogramowaniu TCExam
11 stycznia 2024 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2023-6554
Data publikacji 11 stycznia 2024
Producent podatnego oprogramowania Tecnick.com
Nazwa podatnego oprogramowania TCExam
Podatne wersje Wszystkie poniżej 15.1.0
Typ podatności (CWE) Missing Authorization (CWE-862)
Źródło zgłoszenia Badania własne

Opis podatności

CERT Polska w ramach badań własnych znalazł w otwartoźródłowym projekcie TCExam podatność pozwalającą na nieuprawniony dostęp do chronionej części informacji, tj. odpowiedzi do egzaminów. Podatność ta objawiała się w przypadku niezastosowania dodatkowego zabezpieczenia chroniącego folder "admin" przed dostępem z internetu, np. za pomocą mechanizmu basic authentication.

Podatności nadano identyfikator CVE-2023-6554. Została ona naprawiona w wersji 15.1.0 oprogramowania TCExam.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.