CVE-2026-39354

Name of the Vulnerable Software and Affected Versions Scoold versões anteriores a 1.66.2

Description A falha no Scoold permite que qualquer usuário autenticado com privilégios baixos sobrescreva a pergunta existente de outro usuário. Isso é alcançado fornecendo o ID público da pergunta como o parâmetro postId para a solicitação POST no endpoint da API ''/questions/ask''. Os IDs das perguntas são expostos em URLs de perguntas normais, permitindo que um invasor pegue um ID de pergunta da vítima de uma página pública e substitua o conteúdo existente por conteúdo controlado pelo invasor. Isso resulta em perda de integridade do conteúdo gerado pelo usuário e corrompe o thread de discussão.

Recommendations Atualize para a versão 1.66.2 ou posterior.