Ostrzeżenia Zgłoś incydent
Cofnij
  • O nas
  • Baza wiedzy
  • Dla ekspertów
Ostrzeżenia Zgłoś incydent
O nas
O zespole Praca Kontakt
Baza wiedzy
Fałszywe inwestycje Uważaj na fałszywe sklepy online (Nie)bezpieczne płatności Fałszywi konsultanci Zadbaj o bezpieczne hasła i logowanie Fałszywe załączniki w mailach Fałszywe prośby o szybki przelew Fałszywe SMSy - plaga ostatnich miesięcy Bezpieczny telefon
Biuletyn OUCH!
Porady bezpieczeństwa OUCH!

Podatności w oprogramowaniu school-management-system
03 czerwca 2026 | CERT Polska | #podatność, #ostrzeżenie, #cve
CVE ID CVE-2026-47324
Data publikacji 03 czerwca 2026
Producent podatnego oprogramowania ProjectsAndPrograms
Nazwa podatnego oprogramowania school-management-system
Podatne wersje 6b6fae5
Typ podatności (CWE) Improper Neutralization of Input During Web Page Generation (XSS or 'Cross-site Scripting') (CWE-79)
Źródło zgłoszenia Zgłoszenie do CERT Polska
CVE ID CVE-2026-47325
Data publikacji 03 czerwca 2026
Producent podatnego oprogramowania ProjectsAndPrograms
Nazwa podatnego oprogramowania school-management-system
Podatne wersje 6b6fae5
Typ podatności (CWE) Use of Weak Credentials (CWE-1391)
Źródło zgłoszenia Zgłoszenie do CERT Polska

Opis podatności

CERT Polska otrzymał zgłoszenie o podatnościach w oprogramowaniu ProjectsAndPrograms school-management-system i koordynował proces ujawniania informacji.

Podatność CVE-2026-47324: Oprogramowanie ProjectsAndPrograms school-management-system jest podatne na atak typu Stored Cross-Site Scripting (XSS) w wielu atrybutach obiektów uczniów i nauczycieli. Uwierzytelniony atakujący (np. nauczyciel lub administrator) może wstrzyknąć złośliwy kod JavaScript, który jest następnie wykonywany w przeglądarkach innych użytkowników. Co istotne, łącząc tę podatność z CVE-2025-11661, która umożliwia nieuwierzytelniony dostęp do endpointów backendowych, podatność ta może być wykorzystana nawet przez nieuwierzytelnionego, zdalnego atakującego.

Podatność CVE-2026-47325: Oprogramowanie ProjectsAndPrograms school-management-system używa przewidywalnych poświadczeń, generując hasła studentów i nauczycieli wyłącznie na podstawie daty urodzenia użytkownika (np. 12072000 dla 12 lipca 2000). Aplikacja nie wymaga ani nie sugeruje użytkownikom zmiany hasła po pierwszym logowaniu. To zachowanie umożliwia atakującemu łatwe odgadnięcie lub wywnioskowanie prawidłowych poświadczeń, co prowadzi do nieautoryzowanego dostępu do kont.

Producent oprogramowania został wcześnie poinformowany o tych podatnościach, jednakże nie udzielił szczegółów dotyczących podatnych wersji. Wersja odpowiadająca commitowi 6b6fae5 została przetestowana i potwierdzona jako podatna; inne wersje nie były testowane ale mogą także być podatne.

Podziękowania

Za zgłoszenie podatności dziękujemy Jakubowi Toczyskiemu.

Więcej o procesie zgłaszania podatności można przeczytać na stronie https://cert.pl/cvd/.