Platform
erpnext
Component
lms
Opgelost in
2.46.0
CVE-2026-39415 beschrijft een kwetsbaarheid in Frappe Learning Management System (LMS) waarbij studenten quiz scores kunnen wijzigen voordat ze worden ingediend. De applicatie berekent scores aan de client-kant, waardoor deze kunnen worden aangepast met browser developer tools. Hoewel dit geen toegang tot andere gebruikersgegevens of privilege escalatie mogelijk maakt, compromitteert het de integriteit van de quizresultaten. De fix is beschikbaar in versie 2.46.0.
CVE-2026-39415 heeft invloed op Frappe Learning Management System (LMS) versies ouder dan 2.46.0. De kwetsbaarheid stelt studenten in staat om hun quizscores te wijzigen voordat ze worden ingediend. Dit komt omdat de applicatie momenteel afhankelijk is van client-side berekende scores, die kunnen worden gewijzigd met behulp van browserontwikkelaarstools voordat de indieningsaanvraag wordt verzonden. Hoewel dit geen wijziging van de gegevens van andere gebruikers of privilege-escalatie mogelijk maakt, compromitteert het de integriteit van quizscores en de geldigheid van beoordelingen.
Het exploiteren van deze kwetsbaarheid vereist toegang tot de webbrowser van de student en het gebruik van ontwikkelaarstools om de JavaScript-code te wijzigen die de quizscore berekent. De aanvaller moet een legitieme gebruiker van het LMS zijn om toegang te krijgen tot de quiz en de score te manipuleren. De moeilijkheidsgraad van exploitatie is relatief laag, aangezien browserontwikkelaarstools wijdverbreid zijn. De impact op de integriteit van beoordelingen is echter aanzienlijk.
Educational institutions and organizations utilizing Frappe Learning Management System (LMS) versions 1.0.0 through 2.46.0 are at risk. Specifically, courses relying heavily on quizzes for assessment are particularly vulnerable. Organizations with limited security expertise or those who have not implemented robust code review processes are also at higher risk.
• Generic Web: Check the Frappe LMS application code for client-side score calculations without server-side validation. Use curl to inspect API endpoints related to quiz submissions for potential vulnerabilities.
• php: Examine PHP code for functions related to quiz score calculation and submission. Look for instances where client-side data is directly used without validation. Use grep to search for keywords like $_POST and score in relevant files.
• Database (MySQL): Query the database for suspicious quiz score entries that deviate significantly from expected ranges or patterns. Use a query like SELECT score FROM quiz_results WHERE score > 100 OR score < 0;
disclosure
Exploit Status
EPSS
0.10% (27% percentiel)
CISA SSVC
De oplossing voor deze kwetsbaarheid is om te upgraden naar versie 2.46.0 of hoger van het Frappe LMS. Deze versie bevat fixes die quizscores server-side valideren, waardoor client-side manipulatie wordt voorkomen. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen om de integriteit van beoordelingen en het vertrouwen in leerresultaten te beschermen. Bekijk bovendien beoordelingsbeleid en -praktijken om de update aan te vullen en een veilige en betrouwbare leeromgeving te waarborgen.
Actualice el Frappe Learning Management System a la versión 2.46.0 o posterior para mitigar la vulnerabilidad. Esta versión corrige el problema al validar los puntajes de los cuestionarios en el lado del servidor, evitando que los estudiantes los modifiquen a través de herramientas de desarrollo del navegador.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Nee, deze kwetsbaarheid staat alleen de wijziging van de eigen score van de student toe.
Ondertussen is het raadzaam om quizscores nauwlettend in de gaten te houden en aanvullende beveiligingsmaatregelen te overwegen, zoals de handmatige controle van antwoorden.
Upgraden naar versie 2.46.0 is de beste bescherming. Daarnaast kan het opleiden van studenten over het belang van academische integriteit helpen om misbruik te voorkomen.
Nee, deze kwetsbaarheid heeft geen invloed op de privacy van de persoonlijke gegevens van gebruikers.
KEV (Knowledge Enhanced Vulnerability) is een classificatie. 'Nee' geeft aan dat er geen aanvullende informatie of diepgaande analyses over deze kwetsbaarheid zijn gevonden in KEV-bronnen.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.