LOW🇬🇧 English

CVE-2026-25221

CVSS 2.3v4.0pub. 2026-02-02upd. 2026-02-20

PolarLearn to darmowy program edukacyjny o otwartym kodzie źródłowym. W wersji 0-PRERELEASE-15 i wcześniejszych, implementacja OAuth 2.0 dla dostawców logowania GitHub i Google jest podatna na Login CSRF. Aplikacja nie implementuje i nie weryfikuje parametru state podczas przepływu uwierzytelniania, co pozwala atakującemu na pre-uwierzytelnienie sesji i oszukanie ofiary do zalogowania się na konto atakującego. Wszystkie dane wprowadzane przez ofiarę lub postępy w nauce są przechowywane na koncie atakującego, co prowadzi do utraty danych dla ofiary i ujawnienia informacji atakującemu.

Pokaż oryginał (EN)

PolarLearn is a free and open-source learning program. In 0-PRERELEASE-15 and earlier, the OAuth 2.0 implementation for GitHub and Google login providers is vulnerable to Login Cross-Site Request Forgery (CSRF). The application fails to implement and verify the state parameter during the authentication flow. This allows an attacker to pre-authenticate a session and trick a victim into logging into the attacker's account. Any data the victim then enters or academic progress they make is stored on the attacker's account, leading to data loss for the victim and information disclosure to the attacker.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:P/VC:N/VI:L/VA:N/SC:N/SI:L/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Polarlearn

    APP
    Polarlearn
    wszystkie wersje
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-39322CRITICAL9.2PL ✓ten sam produkt

PolarLearn: Pominięcie weryfikacji hasła przy logowaniu zbanowanych kont

CVE-2026-25885CRITICAL10.0PL ✓ten sam produkt

PolarLearn: brak uwierzytelnienia w WebSocket czatu grupowego

CVE-2026-35610HIGH8.8ten sam produkt

PolarLearn is a free and open-source learning program. In 0-PRERELEASE-14 and earlier, setCustomPassword(userI...

CVE-2026-25126HIGH7.1ten sam produkt

PolarLearn is a free and open-source learning program. Prior to version 0-PRERELEASE-15, the vote API route (`...

CVE-2026-25222MEDIUM6.3ten sam produkt

PolarLearn is a free and open-source learning program. In 0-PRERELEASE-15 and earlier, a timing attack vulnera...