Featured image of post CVE-2026-2015
Controle De Acesso Quebrado Moderado I-Educar Securança WebApp BFLA

CVE-2026-2015

Controle de Acesso Quebrado

CVE-2026-2015: A Autorização de Nível de Função Quebrada (BFLA) permite a modificação arbitrária de Registros de Alunos por meio da ferramenta de Importação de Status Final.

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2026-2015

Resumo

Uma vulnerabilidade de Autorização de Nível de Função Quebrada (BFLA) foi identificada na ferramenta Importação de Status Final do aplicativo i-Educar. Essa falha permite que um usuário autenticado com permissões de nível "Escola" ignore as restrições funcionais pretendidas e modifique registros acadêmicos pertencentes a qualquer unidade escolar dentro da rede municipal.

Detalhes

Componente Vulnerável: Configurações > Ferramentas > Importação de Status Final

PoC

Contexto:

A conta do atacante está estritamente limitada a uma unidade escolar específica (Ensino Fundamental) com permissões de "Escola" de baixo nível. Todas as permissões administrativas ou de edição global estão desativadas.

Acesso Autorizado:

Quando um usuário administrativo (com permissões globais ou locais adequadas) acessa o registro de um aluno, o menu suspenso "Status Final" fica visível e totalmente funcional, permitindo atualizações manuais de status.

Acesso Não Autorizado (Visão do Atacante):

Quando o atacante tenta editar um aluno de uma unidade escolar diferente por meio da interface padrão, o menu suspenso "Status Final" fica oculto. O sistema identifica corretamente que o usuário não possui autorização para essa função específica no frontend.

Payload:

O atacante identifica IDs de alunos de outras instituições (por exemplo, IDs 212, 199, 200). Um payload em CSV é preparado para forçar uma mudança de status para "Falecido".

Passos para reproduzir:

O atacante navega até a ferramenta de Importação de Status Final. Ao fazer o upload do CSV, ele aciona o serviço vulnerável. O backend processa os IDs sem validar a propriedade institucional.

A ferramenta reporta sucesso para todos os registros. Uma verificação no perfil do aluno alvo (da unidade não autorizada) confirma que o status foi alterado. Vários alunos foram afetados, comprovando a capacidade de sabotagem em massa.

Impacto

Esta é uma vulnerabilidade de Autorização em Nível de Função Quebrada (BFLA), conforme categorizado pelo OWASP API Security Top 10 (2023) - API4. As consequências incluem:

  • Adulteração de dados acadêmicos sem autorização.
  • Perda da integridade dos dados em registros escolares.
  • Potencial dano legal e à reputação de instituições de ensino.

Referência

https://github.com/ViniCastro2001/Security_Reports/blob/main/i-educar/BFLA-Final-Status-Import/README.md

Encontrado por

Vinicius Castro

By: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy