Escanear grátis
MEDIUMCVE-2026-5531CVSS 5.3

Armazenamento em texto simples (cleartext storage) em arquivo login_credentials.txt no Sistema de Gerenciamento de Resultados de Alunos SourceCodester via requisição HTTP GET

Plataforma

php

Componente

student-result-management-system

Corrigido em

1.0.1

AI Confidence: highNVDEPSS 0.0%Revisado: mai. de 2026
Ver no NVD
Salvar

Uma vulnerabilidade foi descoberta no Student Result Management System versão 1.0.0. A falha está relacionada ao tratamento de requisições HTTP, especificamente em uma função desconhecida no arquivo /login_credentials.txt. Um atacante pode explorar essa vulnerabilidade para armazenar dados sensíveis em texto plano, comprometendo a confidencialidade das informações. A exploração pode ser realizada remotamente e um exploit público já foi divulgado.

Impacto e Cenários de Ataque

Uma vulnerabilidade crítica foi identificada no sistema Student Result Management System da SourceCodester, versão 1.0 (CVE-2026-5531). Esta falha de segurança permite o armazenamento em texto simples de credenciais de login no arquivo /login_credentials.txt. O componente afetado é o manipulador de solicitações HTTP GET, o que significa que um atacante remoto pode explorar esta vulnerabilidade sem a necessidade de acesso interno à rede. A gravidade da vulnerabilidade é classificada como 5.3 na escala CVSS, indicando um risco moderado. A divulgação pública desta vulnerabilidade aumenta o risco de exploração, pois os atacantes agora têm conhecimento da falha e podem desenvolver exploits para aproveitá-la. A falta de uma solução (fix) disponível agrava ainda mais a situação, deixando os usuários vulneráveis até que uma correção seja implementada.

Contexto de Exploração

A vulnerabilidade CVE-2026-5531 reside na forma como o Student Result Management System 1.0 lida com as solicitações HTTP GET e armazena as credenciais de login. O arquivo /login_credentials.txt, que contém informações sensíveis, é armazenado em texto simples, facilitando o acesso e a leitura por um atacante remoto. Um atacante pode usar ferramentas como curl ou wget para realizar uma solicitação HTTP GET ao arquivo, obtendo assim as credenciais de login. A divulgação pública desta vulnerabilidade significa que os atacantes têm as informações necessárias para criar e executar exploits direcionados a sistemas vulneráveis. A falta de autenticação ou autorização adequada para acessar o arquivo é a principal causa desta vulnerabilidade.

Quem Está em Riscotraduzindo…

Organizations utilizing SourceCodester Student Result Management System versions 1.0.0 through 1.0, particularly those hosting the application on shared hosting environments or without robust file system access controls, are at significant risk. Educational institutions and schools relying on this system to manage student results are especially vulnerable.

Passos de Detecçãotraduzindo…

• php / server:

find /var/www/html -name 'login_credentials.txt' -print

• generic web:

curl -I http://your-student-result-system.com/login_credentials.txt

Check for a 200 OK response, indicating the file is accessible. • generic web:

grep -r 'username:.*password:' /var/www/html

Search for username/password patterns in the codebase.

Linha do Tempo do Ataque

  1. Disclosure

    disclosure

Inteligência de Ameaças

Status do Exploit

Prova de ConceitoDesconhecido
CISA KEVNO
Exposição na InternetAlta
Relatórios1 relatório de ameaça

EPSS

0.02% (percentil 4%)

CISA SSVC

Exploraçãonone
Automatizávelyes
Impacto Técnicopartial

Vetor CVSS

INTELIGÊNCIA DE AMEAÇAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N/E:P/RL:W/RC:R5.3MEDIUMAttack VectorNetworkComo o atacante alcança o alvoAttack ComplexityLowCondições necessárias para explorarPrivileges RequiredNoneNível de autenticação necessárioUser InteractionNoneSe a vítima precisa tomar uma açãoScopeUnchangedImpacto além do componente afetadoConfidentialityLowRisco de exposição de dados sensíveisIntegrityNoneRisco de modificação não autorizada de dadosAvailabilityNoneRisco de interrupção de serviçonextguardhq.com · Pontuação Base CVSS v3.1
O que significam essas métricas?
Attack Vector
Rede — explorável remotamente pela internet. Sem acesso físico ou local necessário.
Attack Complexity
Baixa — sem condições especiais. O atacante pode explorar de forma confiável.
Privileges Required
Nenhum — sem autenticação necessária para explorar.
User Interaction
Nenhuma — ataque automático e silencioso. A vítima não faz nada.
Scope
Inalterado — impacto limitado ao componente vulnerável.
Confidentiality
Baixo — acesso parcial ou indireto a alguns dados.
Integrity
Nenhum — sem impacto na integridade.
Availability
Nenhum — sem impacto na disponibilidade.

Software Afetado

Componentestudent-result-management-system
FornecedorSourceCodester
Faixa afetadaCorrigido em
1.0 – 1.01.0.1

Classificação de Fraqueza (CWE)

CWE-313CWE-312

Linha do tempo

  1. Reservado
  2. Publicada
  3. Modificada
  4. EPSS atualizado
Sem correção — 49 dias desde a divulgação

Mitigação e Soluções Alternativas

Dado que não foi fornecida uma solução oficial (fix) para CVE-2026-5531, as medidas de mitigação devem se concentrar em reduzir a superfície de ataque e limitar o acesso ao arquivo /login_credentials.txt. Recomenda-se fortemente alterar as senhas padrão do sistema e aplicar o princípio do menor privilégio, restringindo o acesso a este arquivo apenas a usuários autorizados. Além disso, deve-se considerar a implementação de um sistema de gerenciamento de senhas mais seguro que não armazene as credenciais em texto simples. Monitorar os registros do sistema em busca de atividades suspeitas também pode ajudar a detectar e responder a possíveis ataques. A atualização para uma versão corrigida do sistema, uma vez que esteja disponível, é a solução definitiva.

Como corrigirtraduzindo…

Actualice el sistema Student Result Management System a la última versión disponible, ya que la vulnerabilidad radica en la versión 1.0.  Revise y asegure los archivos de configuración para evitar el almacenamiento de credenciales en texto plano. Implemente medidas de seguridad adicionales, como el cifrado de datos sensibles, para proteger la información del usuario.

Boletim de Segurança CVE

Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.

Perguntas frequentes

O que é CVE-2026-5531 em Student Result Management System?

É um identificador único para uma vulnerabilidade de segurança específica no Student Result Management System.

Estou afetado pelo CVE-2026-5531 no Student Result Management System?

Se você estiver usando a versão 1.0 do Student Result Management System, provavelmente é vulnerável.

Como corrijo o CVE-2026-5531 no Student Result Management System?

Implemente as medidas de mitigação recomendadas, como alterar as senhas e restringir o acesso ao arquivo /login_credentials.txt.

O CVE-2026-5531 está sendo explorado ativamente?

Atualmente, não há uma solução oficial disponível. Monitorar os registros do sistema é uma medida temporária.

Onde encontro o aviso oficial do Student Result Management System para o CVE-2026-5531?

Procure em bancos de dados de vulnerabilidades como o National Vulnerability Database (NVD) para obter informações atualizadas.

Seu projeto está afetado?

Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.

Escanear grátisBuscar CVEs