Vulnerability Detail Report
Vulnerability Overview
- ZDID: ZD-2026-00839
- Title: 某單位 一系列 API 只驗證登入不驗證權限,導致 BOLA / IDOR 與老師權限提升
- Introduction: 多支 API 只驗證「有沒有登入」卻不驗證「資源是不是你的」,任一登入學生即可讀取他人課程點名名單/個資、簽到碼、考試統計,甚至把任意帳號提升為任意課程的老師。
處理狀態
目前狀態
審核完成
Last Update : 2026/06/12
-
新提交
-
已審核
-
未通報
-
未修補
-
未複測
-
公開
處理歷程
- 2026/06/11 19:30:14 : 新提交 (由 Wayne Chen 更新此狀態)
- 2026/06/11 23:02:52 : 新提交 (由 Wayne Chen 更新此狀態)
- 2026/06/12 10:32:42 : 審核完成 (由 HITCON ZeroDay 服務團隊 更新此狀態)
詳細資料
- ZDID:ZD-2026-00839
- 通報者:fishy (Wayne Chen)
- 風險:嚴重
- 類型:存取控制缺陷 (Broken Access Control)
留言討論
登入後留言