Description
A security vulnerability has been detected in zhuimengshaonian wisdom-education up to 1.0.4. This vulnerability affects the function selectStudentExamInfoList of the file src/main/java/com/education/api/controller/student/ExamInfoController.java. Such manipulation of the argument subjectId leads to improper authorization. It is possible to launch the attack remotely. The exploit has been disclosed publicly and may be used.
Es wurde eine Schwachstelle in zhuimengshaonian wisdom-education up to 1.0.4 entdeckt. Betroffen ist die Funktion selectStudentExamInfoList der Datei src/main/java/com/education/api/controller/student/ExamInfoController.java. Mittels dem Manipulieren des Arguments subjectId mit unbekannten Daten kann eine improper authorization-Schwachstelle ausgenutzt werden. Ein Angriff ist aus der Distanz möglich. Der Exploit wurde der Öffentlichkeit bekannt gemacht und könnte verwendet werden.
Problem types
Incorrect Privilege Assignment
Product status
1.0.1
1.0.2
1.0.3
1.0.4
Timeline
| 2025-09-26: | Advisory disclosed |
| 2025-09-26: | VulDB entry created |
| 2025-09-26: | VulDB entry last update |
Credits
xkalami (VulDB User)
References
vuldb.com/?id.326121 (VDB-326121 | zhuimengshaonian wisdom-education ExamInfoController.java selectStudentExamInfoList improper authorization)
vuldb.com/?ctiid.326121 (VDB-326121 | CTI Indicators (IOB, IOC, TTP, IOA))
vuldb.com/?submit.661308 (Submit #661308 | https://gitee.com/zhuimengshaonian/wisdom-education wisdom-education 1.0.4 Horizontal overstepping authority)
github.com/...CVE/blob/main/wisdom-education/水平越权.md
github.com/...CVE/blob/main/wisdom-education/水平越权.md
