CVE-2025-8790: Broken Object Level Authorization (BOLA) permite acesso não autorizado a dados de outros usuários
CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-8790
Resumo
Uma vulnerabilidade de Broken Object Level Authorization (BOLA) foi identificada na API do i-educar 2.8 e 2.9, permitindo que qualquer usuário autenticado com privilégios baixos acesse informações confidenciais de outros usuários manipulando o parâmetro id no endpoint de recurso pessoa.
Detalhes
O endpoint /module/Api/pessoa não possui verificações de autorização adequadas para garantir que o usuário autenticado só consiga acessar seus próprios dados.Ao alterar o parâmetro id na solicitação a seguir, qualquer usuário autenticado pode recuperar informações sobre outros usuários:GET /module/Api/pessoa?&oper=get&resource=pessoa&id=1 HTTP/1.1
PoC
- 1. Autentique-se como um usuário sem privilégios (por exemplo, aluno, professor).
- 2. Envie a seguinte solicitação direcionada ao usuário id=1:
| |
- 3. Observe que os dados do usuário para id=1 são retornados, mesmo que o usuário logado não esteja autorizado a acessar esse perfil:
Impacto
Esta vulnerabilidade é um problema de Broken Object Level Authorization (BOLA) (OWASP API Top 10 - 2023, A01), permitindo a exposição de dados confidenciais. Qualquer usuário autenticado pode acessar informações pessoais de outros usuários. Isso pode levar a:
- Acesso não autorizado a PII confidenciais;
- Violação das leis de proteção de dados (por exemplo, LGPD, GDPR);
- Possível abuso de dados do usuário ou personificação;
- Enumeração de usuários.
Referência
https://github.com/CVE-Hunters/CVE/blob/main/i-educar/CVE-2025-8790.md
Encontrado por:
Por: CVE-Hunters