维护者迅速解决还可能泄漏敏感的个人数据的问题
一种SQL注入(SQLI)希腊大学开发的开源平台中的脆弱性,以管理学生数据,使学术成绩处于操纵风险。
根据一项博客文章由安全研究员Stavros Mekesis出版。
维护者在吉特拉布(GitlabCVE-2022-29603)。
“数百万用户”
大学是希腊一些最大的大学使用的学生信息系统(SIS),包括最大的塞萨洛尼基亚里士多德大学,用于存储和管理学生的个人身份信息,测试结果和其他敏感数据。
Mekesis告诉每日swbeplay2018官网ig。“因此,可以肯定地说该平台有数百万用户。”
根据Mekesis的说法,尽管攻击复杂性很低,但必须对攻击者进行身份验证,尽管特权较低,例如学生的特权。
梅克斯(Mekesis)警告说:“但是,鉴于许多学生倾向于重复使用密码,一旦这些密码遭到损害,他们就可以用来闯入大学并利用SQLI漏洞。”“而且,网络钓鱼是一种相对便宜有效的攻击形式。”
大学SQLI问题涉及$选择参数和影响多个API终点,包括/api/student/me/saksess/,由于对用户提供的输入的验证不当。
根据Mekesis的说法,在将专门制作的SQL语句发送到脆弱的端点之后,攻击者可以“在后端数据库中查看,添加,修改或删除信息”。
及时回复
大学版本和包括1.2.1的版本都可能易受伤害。
Mekesis建议用户应用最近发布的修补尽快地。
据研究人员称,“大学支持团队立即做出了反应”。梅克斯(Mekeses)说:“吉里亚科斯(Kyriakos)不懈地工作(即使在正统的复活节星期日!),以确保希腊大学的安全。勇敢!”
这是本月梅克斯(Mekesis)第二次记录大学中的错误披露信息披露漏洞在三周前的平台中。
