CRITICAL🇬🇧 English

CVE-2024-39335

Mahara: Ujawnienie informacji administratorowi instytucji przez stronę 'Current submissions'

CVSS 9.1v3.1pub. 2025-08-26upd. 2025-09-05

Podatność w systemie Mahara umożliwia ujawnienie poufnych informacji administratorowi instytucji za pośrednictwem strony 'Current submissions'. Uzyskanie dostępu do danych, do których administrator instytucji nie powinien mieć wglądu, stanowi poważne zagrożenie dla prywatności użytkowników systemu.

Pokaż oryginał (EN)

Supported versions of Mahara 24.04 before 24.04.1 and 23.04 before 23.04.6 are vulnerable to information being disclosed to an institution administrator under certain conditions via the 'Current submissions' page: Administration -> Groups -> Submissions.

🤖 Analiza AI
Jak działa

W określonych warunkach strona administracyjna 'Administration -> Groups -> Submissions' (tzw. 'Current submissions') prezentuje administratorowi instytucji informacje, do których nie powinien mieć dostępu. Jest to błąd klasy CWE-200 (ujawnienie informacji), polegający na nieprawidłowej kontroli dostępu do danych przy wyświetlaniu zgłoszeń grupowych. Podatność nie wymaga uwierzytelnienia jako osoba atakująca spoza systemu, jednak do jej wykorzystania konieczne jest posiadanie roli administratora instytucji w ramach aplikacji.

Skutki

Atakujący posiadający uprawnienia administratora instytucji może uzyskać nieuprawniony dostęp do poufnych danych dotyczących zgłoszeń użytkowników, co może naruszać prywatność użytkowników i wymogi compliance (np. RODO).

Mitygacja

Należy zaktualizować Mahara do wersji 24.04.1 lub 23.04.6 (odpowiednio do używanej gałęzi). Szczegółowe informacje dostępne są w referencjach producenta na forum Mahara.

Kogo dotyczy

Mahara w wersjach 24.04 przed 24.04.1 oraz 23.04 przed 23.04.6

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mahara

    APP
    Mahara
    23.04.0 – 23.04.6 (bez)24.04.0 – 24.04.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2022-45134CRITICAL9.8PL ✓ten sam produkt

Niebezpieczna deserializacja danych wejściowych w Mahara — RCE przez import skórki

CVE-2022-44544CRITICAL9.8ten sam produkt

Mahara 21.04 before 21.04.7, 21.10 before 21.10.5, 22.04 before 22.04.3, and 22.10 before 22.10.0 potentially ...

CVE-2021-40849CRITICAL9.8ten sam produkt

In Mahara before 20.04.5, 20.10.3, 21.04.2, and 21.10.0, the account associated with a web services token is v...

CVE-2017-1000154CRITICAL9.8ten sam produkt

Mahara 15.04 before 15.04.8 and 15.10 before 15.10.4 and 16.04 before 16.04.2 are vulnerable to some authentic...

CVE-2017-1000153CRITICAL9.8ten sam produkt

Mahara 15.04 before 15.04.10 and 15.10 before 15.10.6 and 16.04 before 16.04.4 are vulnerable to incorrect acc...