Plateforme
nodejs
Composant
polarnl/polarnl
Corrigé dans
0.0.1
La vulnérabilité CVE-2026-39322 affecte PolarLearn, un programme d'apprentissage open-source, dans les versions 0.0.0 jusqu'à v0-PRERELEASE-15. Cette faille de contournement d'authentification permet à un attaquant de créer une session valide pour un compte banni, même sans fournir le mot de passe correct. La mise à jour vers la version 0.0.2 corrige ce problème.
Un attaquant exploitant cette vulnérabilité peut contourner les restrictions d'accès imposées aux comptes bannis dans PolarLearn. En créant une session valide pour un compte interdit, l'attaquant peut accéder aux données associées à ce compte et effectuer des actions authentifiées, comme si c'était l'utilisateur banni. Cela peut conduire à la compromission de données sensibles, à la manipulation des paramètres de l'application, ou à d'autres actions malveillantes. L'impact est amplifié si le compte banni avait des privilèges d'administration, permettant un contrôle plus étendu sur le système.
Cette vulnérabilité a été rendue publique le 2026-04-07. Il n'y a pas d'indications d'une exploitation active à l'heure actuelle, ni de PoC publics largement diffusés. La vulnérabilité n'a pas encore été ajoutée au catalogue KEV de CISA. La probabilité d'exploitation est considérée comme faible en l'absence de PoC et d'exploitation confirmée.
Organizations and individuals using PolarLearn versions 0.0.0 through v0-PRERELEASE-15 are at risk. This includes educational institutions, training providers, and anyone utilizing PolarLearn for online learning programs. Shared hosting environments running PolarLearn are particularly vulnerable, as a compromise of one account could potentially lead to broader access.
• nodejs / server:
# Check for PolarLearn processes
ps aux | grep PolarLearn
# Monitor API logs for suspicious login attempts from banned accounts (check for 'banned' status in user records)
grep 'banned' /var/log/polarlearn/api.log• generic web:
# Check for exposed /api/v1/auth/sign-in endpoint
curl -I https://your-polarlearn-instance/api/v1/auth/sign-indisclosure
Statut de l'Exploit
EPSS
0.05% (percentile 14%)
La mitigation principale consiste à mettre à jour PolarLearn vers la version 0.0.2 ou supérieure, qui corrige la vulnérabilité. Si la mise à jour n'est pas immédiatement possible, il est recommandé de renforcer les contrôles d'accès et de surveillance des sessions. Vérifiez les journaux d'activité pour détecter des sessions suspectes associées à des comptes bannis. Envisagez de mettre en place des règles de pare-feu applicatif (WAF) pour bloquer les requêtes POST vers /api/v1/auth/sign-in qui ne respectent pas les exigences d'authentification. Après la mise à jour, vérifiez que l'authentification des comptes bannis est correctement bloquée en tentant de vous connecter avec un compte interdit.
Mettez à jour PolarLearn à la version 0.0.2 ou supérieure pour atténuer la vulnérabilité. Cette mise à jour corrige le problème en vérifiant le mot de passe avant de créer une session pour les comptes bannis, empêchant ainsi l'accès non autorisé aux données du compte.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-39322 décrit une vulnérabilité permettant de contourner l'authentification dans PolarLearn, un programme d'apprentissage, permettant l'accès non autorisé aux données et aux fonctionnalités.
Oui, si vous utilisez PolarLearn dans les versions 0.0.0 jusqu'à v0-PRERELEASE-15, vous êtes affecté par cette vulnérabilité.
Mettez à jour PolarLearn vers la version 0.0.2 ou supérieure pour corriger cette faille de sécurité.
À l'heure actuelle, il n'y a pas d'indications d'une exploitation active de CVE-2026-39322, mais il est important de mettre à jour rapidement pour se protéger.
Consultez le site web officiel de PolarLearn ou leur dépôt GitHub pour l'avis de sécurité concernant CVE-2026-39322.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.