Исследователи информационной безопасности обнаружили две критические уязвимости в open-source решении ProjectsAndPrograms school-management-system. Эта система управления школой используется для ведения учёта учащихся, учителей и административных процессов. Найденные проблемы позволяют злоумышленникам получить несанкционированный доступ к аккаунтам и внедрить вредоносный код. На момент публикации разработчики не выпустили исправление, а точный список уязвимых версий остаётся неизвестным.
Детали уязвимостей
Первая уязвимость, зарегистрированная как CVE-2026-47325, связана со слабой политикой генерации паролей. Система создаёт учётные данные для учеников и преподавателей, используя исключительно дату их рождения. К примеру, для человека, родившегося 12 июля 2000 года, паролем становится комбинация "12072000". При этом приложение не требует и даже не предлагает изменить пароль после первого входа. Злоумышленнику достаточно знать дату рождения любого пользователя (её нередко можно узнать из открытых источников или социальных сетей), чтобы мгновенно получить доступ к его личному кабинету. Разработчики не установили механизм принудительной смены пароля, что делает атаку практически неотразимой.
Вторая проблема, CVE-2026-47324, относится к классу хранимой межсайтовой скриптовой уязвимости (Stored XSS). Она затрагивает множество полей, в которых хранятся данные об учениках и учителях. Атакующий, обладающий правами преподавателя или администратора, может внедрить в эти поля вредоносный JavaScript-код. Когда другие пользователи (например, директор школы или родители) открывают страницу с этими данными, вредоносный код выполняется в их браузере. Это открывает путь к краже сессионных Cookies, перенаправлению на фишинговые сайты или выполнению произвольных действий от имени жертвы.
Наибольшую опасность представляет сочетание этой уязвимости с другой, ранее обнаруженной проблемой - CVE-2025-11661. Она позволяет неавторизованному удалённому злоумышленнику получать доступ к внутренним конечным точкам (backend endpoints) системы, минуя аутентификацию. Используя эту связку, хакер без каких-либо учётных данных может внедрить вредоносный скрипт и заставить его выполняться в браузере любого другого пользователя. Таким образом, для атаки не требуется даже предварительного взлома аккаунта учителя или администратора.
Обе уязвимости получили средний уровень опасности по шкале CVSS: 5,1 и 6,9 баллов соответственно. Тем не менее, на практике их сочетание может привести к серьёзным последствиям. Школьные системы обрабатывают персональные данные несовершеннолетних - имена, даты рождения, сведения об успеваемости. Компрометация таких данных грозит нарушением законодательства о защите персональных данных (в России - 152-ФЗ), а также может быть использована для мошенничества или кибербуллинга.
Разработчики ProjectsAndPrograms были уведомлены о найденных уязвимостях заранее. Однако они не предоставили информацию о том, какие именно версии продукта подвержены риску. Известно, что версия, соответствующая коммиту 6b6fae5, уязвима. Другие версии не тестировались, и нельзя исключать, что проблема затрагивает все релизы системы. Это означает, что школы, использующие данное ПО, остаются без официального патча.
Что могут сделать администраторы школьных систем? Во-первых, стоит временно ограничить доступ к интерфейсу управления из внешних сетей, оставив его только для локального использования. Во-вторых, полезно изменить механизм генерации паролей вручную, если есть такая возможность. В-третьих, необходимо проверить, не используется ли в системе CVE-2025-11661, и, если да, заблокировать соответствующие конечные точки. Но главная рекомендация - как можно скорее перейти на альтернативное решение или, по крайней мере, связаться с разработчиками для получения срочного обновления.
Эта история в очередной раз напоминает, как важно следить за безопасностью даже в, казалось бы, не самых приоритетных с точки зрения киберзащиты приложениях. Школьные информационные системы часто находятся в стороне от внимания крупных вендоров, однако именно они хранят чувствительные данные детей. Пока разработчики не устранят уязвимости, каждая школа, использующая этот продукт, рискует столкнуться с взломом и утечкой.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2026-47325
- https://www.cve.org/CVERecord?id=CVE-2026-47324
- https://oranbyte.com/projects/school-management-system
