CVE-2024-45058

Versões do i-Educar anteriores à 2.9

A vulnerabilidade permite que um invasor com privilégios mínimos de visualização na seção de configurações altere seu tipo de usuário para Administrador ou outro tipo com superprivilégios. Isso pode ser feito por meio de uma solicitação POST especialmente criada para “/intranet/educar usuario cad.php”, modificando o parâmetro nivel usuario . A vulnerabilidade ocorre porque o arquivo localizado em ieducar/intranet/educar usuario cad.php não verifica o nível de permissão atual do usuário antes de permitir alterações.

Para versões anteriores à 2.9, considere desativar o acesso ao endpoint “/intranet/educar usuario cad.php” até que um patch esteja disponível. Além disso, restrinja as modificações no parâmetro nivel usuario para impedir alterações não autorizadas. Recomenda-se que os usuários entrem em contato com o desenvolvedor e coordenem um cronograma para atualizações. No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.