Plateforme
erpnext
Composant
lms
Corrigé dans
2.46.0
Une vulnérabilité a été identifiée dans Frappe Learning Management System (LMS) où les scores des quiz peuvent être modifiés par les étudiants avant la soumission. L'application s'appuie sur des scores calculés côté client, qui peuvent être altérés en utilisant les outils de développement du navigateur. Cette faille compromet l'intégrité des résultats des quiz et affecte les versions antérieures à 2.46.0.
CVE-2026-39415 affecte le Frappe Learning Management System (LMS) dans les versions antérieures à 2.46.0. La vulnérabilité permet aux étudiants de modifier leurs scores aux quiz avant la soumission. Cela est dû au fait que l'application repose actuellement sur des scores calculés côté client, qui peuvent être modifiés à l'aide d'outils de développement de navigateur avant d'envoyer la requête de soumission. Bien que cela n'autorise pas la modification des données des autres utilisateurs ni l'escalade de privilèges, cela compromet l'intégrité des scores aux quiz et la validité des évaluations.
L'exploitation de cette vulnérabilité nécessite un accès au navigateur web de l'étudiant et l'utilisation d'outils de développement pour modifier le code JavaScript qui calcule le score du quiz. L'attaquant doit être un utilisateur légitime du LMS pour pouvoir accéder au quiz et manipuler le score. La difficulté d'exploitation est relativement faible, car les outils de développement de navigateur sont largement accessibles. Cependant, l'impact sur l'intégrité des évaluations est significatif.
Educational institutions and organizations utilizing Frappe Learning Management System (LMS) versions 1.0.0 through 2.46.0 are at risk. Specifically, courses relying heavily on quizzes for assessment are particularly vulnerable. Organizations with limited security expertise or those who have not implemented robust code review processes are also at higher risk.
• Generic Web: Check the Frappe LMS application code for client-side score calculations without server-side validation. Use curl to inspect API endpoints related to quiz submissions for potential vulnerabilities.
• php: Examine PHP code for functions related to quiz score calculation and submission. Look for instances where client-side data is directly used without validation. Use grep to search for keywords like $_POST and score in relevant files.
• Database (MySQL): Query the database for suspicious quiz score entries that deviate significantly from expected ranges or patterns. Use a query like SELECT score FROM quiz_results WHERE score > 100 OR score < 0;
disclosure
Statut de l'Exploit
EPSS
0.10% (percentile 27%)
CISA SSVC
La solution à cette vulnérabilité est de mettre à niveau vers la version 2.46.0 ou supérieure du Frappe LMS. Cette version inclut des correctifs qui valident les scores aux quiz côté serveur, empêchant ainsi la manipulation côté client. Il est recommandé d'appliquer cette mise à jour dès que possible pour protéger l'intégrité des évaluations et la confiance dans les résultats de l'apprentissage. De plus, examinez les politiques et pratiques d'évaluation pour compléter la mise à jour et assurer un environnement d'apprentissage sécurisé et fiable.
Actualice el Frappe Learning Management System a la versión 2.46.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al validar los puntajes de los cuestionarios en el lado del servidor, evitando que los estudiantes los modifiquen a través de herramientas de desarrollo del navegador.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Non, cette vulnérabilité n'autorise que la modification du score propre de l'étudiant.
En attendant, surveillez de près les scores aux quiz et envisagez de mettre en œuvre des mesures de sécurité supplémentaires, telles que l'examen manuel des réponses.
La mise à niveau vers la version 2.46.0 est la meilleure protection. De plus, éduquer les étudiants sur l'importance de l'intégrité académique peut aider à prévenir les abus.
Non, cette vulnérabilité n'affecte pas la confidentialité des données personnelles des utilisateurs.
KEV (Knowledge Enhanced Vulnerability) est une classification. 'Non' indique qu'aucune information ou analyse approfondie supplémentaire concernant cette vulnérabilité n'a été trouvée dans les sources KEV.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.