CVE-2022-30760

Versões do ihb eG FlexNow anteriores à 2.04.09.016

A vulnerabilidade consiste em uma Referência Direta a Objeto Não Segura (IDOR) que permite que invasores remotos autenticados obtenham informações confidenciais dos alunos, incluindo notas finais, cursos e diplomas. Isso é feito alterando o parâmetro student ID na solicitação HTTP POST para o endpoint “FrontControllerSS”.

Para versões anteriores à 2.04.09.016, atualize para a versão 2.04.09.016 ou posterior para resolver o problema. Como solução alternativa temporária, considere restringir o acesso ao endpoint “FrontControllerSS” ou limitar a capacidade de modificar o parâmetro student ID para impedir o acesso não autorizado a informações confidenciais dos alunos.