CVE-2025-9687: Broken Object Level Authorization (BOLA) permite a enumeração de alunos via /module/HistoricoEscolar/processamentoApi

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-9687

Resumo

Uma vulnerabilidade de Broken Object Level Authorization (BOLA) foi identificada no endpoint /module/HistoricoEscolar/processamentoApi do aplicativo i-Educar. Essa falha permite que usuários com poucos privilégios (por exemplo, contas padrão de alunos/responsáveis) recuperem informações de matrícula (matrículas) de alunos fora de seu escopo, expondo Informações Pessoais Identificáveis ​​(PII) sem as devidas verificações de autorização.

Detalhes

Endpoint Vulnerável:
GET /module/HistoricoEscolar/processamentoApi

O aplicativo não consegue aplicar a autorização em nível de objeto ao manipular este endpoint. Como resultado, qualquer usuário autenticado pode manipular os valores da solicitação para acessar informações confidenciais (nomes, IDs, status de matrícula) dos alunos.

PoC

• Autentique como um usuário sem privilégios (por exemplo, aluno, professor).

• Envie a seguinte requisição:

1
2

GET /module/HistoricoEscolar/processamentoApi?att=matriculas&oper=get&instituicao_id=1&escola_id=4&curso_id=3&serie_id=5&turma_id=23&ano=2025&busca=S HTTP/1.1
Cookie: i_educar_session=<low-privileged-session>

• Pudemos observar que informações sobre os alunos foram retornadas.

Impacto

Esta vulnerabilidade é um problema de Broken Object Level Authorization (BOLA) (OWASP API Top 10 - 2023, A01), permitindo a exposição de dados sensíveis. Qualquer usuário autenticado pode acessar informações pessoais de outros usuários. Isso pode levar a:

• Acesso não autorizado a PII sensíveis;
• Violação das leis de proteção de dados (por exemplo, LGPD, GDPR);
• Possível abuso de dados do usuário ou personificação;
• Enumeração de usuários.

Referência

https://github.com/marcelomulder/CVE/blob/main/i-educar/CVE-2025-9687.md

Encontrado por

Marcelo Queiroz

Por: CVE-Hunters