प्लेटफ़ॉर्म
erpnext
घटक
lms
में ठीक किया गया
2.46.0
Frappe Learning Management System (LMS) में एक भेद्यता की पहचान की गई है जो छात्रों को क्विज़ जमा करने से पहले उनके स्कोर को बदलने की अनुमति देती है। यह भेद्यता Frappe LMS के संस्करण 1.0.0 से 2.46.0 से पहले के संस्करणों को प्रभावित करती है। क्लाइंट-साइड गणना पर निर्भरता के कारण, छात्र ब्राउज़र डेवलपर टूल का उपयोग करके स्कोर को बदल सकते हैं। इस समस्या को Frappe LMS के संस्करण 2.46.0 में ठीक कर दिया गया है।
CVE-2026-39415 Frappe Learning Management System (LMS) के 2.46.0 से पहले के संस्करणों को प्रभावित करता है। यह भेद्यता छात्रों को जमा करने से पहले उनके क्विज़ स्कोर को संशोधित करने की अनुमति देती है। ऐसा इसलिए है क्योंकि एप्लिकेशन वर्तमान में क्लाइंट-साइड पर गणना किए गए स्कोर पर निर्भर करता है, जिन्हें जमा अनुरोध भेजने से पहले ब्राउज़र डेवलपर टूल का उपयोग करके हेरफेर किया जा सकता है। हालांकि यह अन्य उपयोगकर्ताओं के डेटा को संशोधित करने या विशेषाधिकार बढ़ाने की अनुमति नहीं देता है, लेकिन यह क्विज़ स्कोर की अखंडता और मूल्यांकन की वैधता को कमजोर करता है।
इस भेद्यता का शोषण करने के लिए छात्र के वेब ब्राउज़र तक पहुंच और क्विज़ स्कोर की गणना करने वाले जावास्क्रिप्ट कोड को संशोधित करने के लिए डेवलपर टूल का उपयोग करना आवश्यक है। हमलावर को क्विज़ तक पहुंचने और स्कोर में हेरफेर करने के लिए LMS का एक वैध उपयोगकर्ता होना चाहिए। शोषण की कठिनाई अपेक्षाकृत कम है, क्योंकि ब्राउज़र डेवलपर टूल व्यापक रूप से उपलब्ध हैं। हालांकि, मूल्यांकन की अखंडता पर प्रभाव महत्वपूर्ण है।
Educational institutions and organizations utilizing Frappe Learning Management System (LMS) versions 1.0.0 through 2.46.0 are at risk. Specifically, courses relying heavily on quizzes for assessment are particularly vulnerable. Organizations with limited security expertise or those who have not implemented robust code review processes are also at higher risk.
• Generic Web: Check the Frappe LMS application code for client-side score calculations without server-side validation. Use curl to inspect API endpoints related to quiz submissions for potential vulnerabilities.
• php: Examine PHP code for functions related to quiz score calculation and submission. Look for instances where client-side data is directly used without validation. Use grep to search for keywords like $_POST and score in relevant files.
• Database (MySQL): Query the database for suspicious quiz score entries that deviate significantly from expected ranges or patterns. Use a query like SELECT score FROM quiz_results WHERE score > 100 OR score < 0;
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.10% (27% शतमक)
CISA SSVC
इस भेद्यता के लिए समाधान Frappe LMS के संस्करण 2.46.0 या उच्चतर में अपग्रेड करना है। इस संस्करण में फिक्स शामिल हैं जो सर्वर-साइड पर क्विज़ स्कोर को मान्य करते हैं, जिससे क्लाइंट-साइड हेरफेर को रोका जा सकता है। सीखने के परिणामों के लिए मूल्यांकन की अखंडता और विश्वास की रक्षा के लिए इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, मूल्यांकन नीतियों और प्रथाओं की समीक्षा करें ताकि अपडेट को पूरक किया जा सके और एक सुरक्षित और विश्वसनीय सीखने का माहौल सुनिश्चित किया जा सके।
Actualice el Frappe Learning Management System a la versión 2.46.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al validar los puntajes de los cuestionarios en el lado del servidor, evitando que los estudiantes los modifiquen a través de herramientas de desarrollo del navegador.
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
नहीं, यह भेद्यता केवल छात्र के अपने स्कोर को संशोधित करने की अनुमति देती है।
इस बीच, क्विज़ स्कोर की बारीकी से निगरानी करें और अतिरिक्त सुरक्षा उपायों पर विचार करें, जैसे कि उत्तरों की मैन्युअल समीक्षा।
संस्करण 2.46.0 में अपग्रेड करना सबसे अच्छा बचाव है। इसके अतिरिक्त, छात्रों को शैक्षणिक अखंडता के महत्व के बारे में शिक्षित करने से दुरुपयोग को रोकने में मदद मिल सकती है।
नहीं, यह भेद्यता उपयोगकर्ताओं के व्यक्तिगत डेटा की गोपनीयता को प्रभावित नहीं करती है।
KEV (Knowledge Enhanced Vulnerability) एक वर्गीकरण है। 'नहीं' इंगित करता है कि KEV स्रोतों में इस भेद्यता के बारे में कोई अतिरिक्त जानकारी या गहन विश्लेषण नहीं मिला है।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।