正方教务管理系统成绩录入漏洞

漏洞详情

披露状态：

2011-12-27： 细节已通知厂商并且等待厂商处理中
2012-01-01： 厂商已经主动忽略漏洞，细节向公众公开

简要描述：

web端成绩录入可绕过密码验证录入成绩。

详细说明：

web端在进行成绩录入时可以通过直接将动态页面从js_cjmm.aspx修改为xf_js_cjlr.aspx进行绕过，只要具有教师的登录权限，不需要验证成绩录入密码即可直接进入成绩的录入和提交页面。
危害：成绩录入验证密码失效，意味着一旦教师密码被泄露(因为很多教师用户的账户名和密码都为初始值没有进行修改，如改实例院校的教务系统有约30%的教师账户名和密码相同)，任意用户可以在成绩录入有效期内于教师权限下的任意成绩修改与提交。

更多信息来自东方联盟网：http://www.vm888.com