Plattform
erpnext
Komponente
lms
Behoben in
2.46.0
CVE-2026-39415 is a vulnerability affecting Frappe Learning Management System (LMS) versions 1.0.0 through 2.46.0. This issue allows students to manipulate quiz scores before submission using browser developer tools. While it doesn't enable access to other users' data or privilege escalation, it compromises the integrity of quiz results. A fix is available in version 2.46.0.
CVE-2026-39415 betrifft Frappe Learning Management System (LMS) Versionen vor 2.46.0. Die Schwachstelle ermöglicht es Studenten, ihre Quiz-Ergebnisse zu ändern, bevor sie eingereicht werden. Dies liegt daran, dass die Anwendung derzeit auf clientseitig berechnete Ergebnisse angewiesen ist, die mit Browser-Entwicklertools manipuliert werden können, bevor die Übertragung der Übermittlungsanfrage erfolgt. Obwohl dies keine Änderung der Daten anderer Benutzer oder eine Eskalation von Berechtigungen ermöglicht, beeinträchtigt es die Integrität der Quiz-Ergebnisse und die Gültigkeit der Bewertungen.
Die Ausnutzung dieser Schwachstelle erfordert Zugriff auf den Webbrowser des Studenten und die Verwendung von Entwicklertools, um den JavaScript-Code zu ändern, der die Quiz-Punktzahl berechnet. Der Angreifer muss ein legitimer Benutzer des LMS sein, um auf das Quiz zugreifen und die Punktzahl manipulieren zu können. Der Schwierigkeitsgrad der Ausnutzung ist relativ gering, da Browser-Entwicklertools weit verbreitet sind. Der Einfluss auf die Integrität der Bewertungen ist jedoch erheblich.
Educational institutions and organizations utilizing Frappe Learning Management System (LMS) versions 1.0.0 through 2.46.0 are at risk. Specifically, courses relying heavily on quizzes for assessment are particularly vulnerable. Organizations with limited security expertise or those who have not implemented robust code review processes are also at higher risk.
• Generic Web: Check the Frappe LMS application code for client-side score calculations without server-side validation. Use curl to inspect API endpoints related to quiz submissions for potential vulnerabilities.
• php: Examine PHP code for functions related to quiz score calculation and submission. Look for instances where client-side data is directly used without validation. Use grep to search for keywords like $_POST and score in relevant files.
• Database (MySQL): Query the database for suspicious quiz score entries that deviate significantly from expected ranges or patterns. Use a query like SELECT score FROM quiz_results WHERE score > 100 OR score < 0;
disclosure
Exploit-Status
EPSS
0.10% (27% Perzentil)
CISA SSVC
Die Lösung für diese Schwachstelle besteht darin, auf Version 2.46.0 oder höher des Frappe LMS zu aktualisieren. Diese Version enthält Korrekturen, die die Quiz-Ergebnisse serverseitig validieren und so die clientseitige Manipulation verhindern. Es wird empfohlen, dieses Update so bald wie möglich anzuwenden, um die Integrität der Bewertungen und das Vertrauen in die Lernergebnisse zu schützen. Überprüfen Sie außerdem die Bewertungspolitiken und -praktiken, um das Update zu ergänzen und eine sichere und zuverlässige Lernumgebung zu gewährleisten.
Actualice el Frappe Learning Management System a la versión 2.46.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al validar los puntajes de los cuestionarios en el lado del servidor, evitando que los estudiantes los modifiquen a través de herramientas de desarrollo del navegador.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
CVE-2026-39415 is a vulnerability in Frappe LMS versions 1.0.0 through 2.46.0 that allows students to modify quiz scores client-side before submission, compromising data integrity.
You are affected if you are using Frappe LMS versions 1.0.0 through 2.46.0. Upgrade to version 2.46.0 to mitigate the risk.
Upgrade to Frappe LMS version 2.46.0 or later. Back up your data before upgrading and implement server-side validation for quiz scores.
There are currently no known public exploits or confirmed active exploitation of CVE-2026-39415.
Refer to the official Frappe LMS security advisories on their website or GitHub repository for updates and detailed information.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.