CRITICAL🇬🇧 English

CVE-2025-1144

Ujawnienie danych wrażliwych w School Affairs System (Quanxun)

CVSS 9.8v3.1pub. 2025-02-11upd. 2026-04-15

System School Affairs System firmy Quanxun zawiera podatność umożliwiającą nieuwierzytelnionym atakującym dostęp do określonych stron aplikacji oraz pobranie informacji z bazy danych, w tym poświadczeń administratora w postaci jawnego tekstu. Podatność otrzymała ocenę CVSS 9.8 (CRITICAL), co czyni ją wyjątkowo poważnym zagrożeniem.

Pokaż oryginał (EN)

School Affairs System from Quanxun has an Exposure of Sensitive Information, allowing unauthenticated attackers to view specific pages and obtain database information as well as plaintext administrator credentials.

🤖 Analiza AI
Jak działa

Podatność polega na braku odpowiednich mechanizmów kontroli dostępu do wybranych stron aplikacji webowej — atakujący bez żadnego uwierzytelnienia może bezpośrednio je otworzyć. Na tych stronach aplikacja ujawnia wrażliwe informacje systemowe, w tym zawartość bazy danych oraz dane logowania administratora przechowywane w postaci niezaszyfrowanego (plaintext) tekstu. Sklasyfikowano to jako CWE-497, czyli ujawnienie wrażliwych informacji systemowych osobom nieuprawnionym.

Skutki

Atakujący może uzyskać pełne poświadczenia administratora systemu w postaci jawnego tekstu, co w praktyce oznacza całkowite przejęcie kontroli nad aplikacją, jej danymi oraz potencjalnie infrastrukturą, na której działa.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi przez TWCERT (https://www.twcert.org.tw/en/cp-139-8416-b6cba-2.html). Do czasu wdrożenia poprawki zaleca się ograniczenie dostępu do aplikacji na poziomie sieci (firewall, VPN) wyłącznie do zaufanych adresów IP.

Kogo dotyczy

School Affairs System produkcji Quanxun — konkretne wersje wskazane w referencjach producenta (TWCERT).

Uwagi

Podatność została zgłoszona i opublikowana przez tajwańskie centrum reagowania na incydenty TWCERT/CC. Data publikacji: 2025-02-11.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje
CVE-2025-1144 — Ujawnienie danych wrażliwych w School Affairs System (Quanxun) — CRITICAL 9.8 | CVEbaza.pl