A weakness has been identified in OUSL-GROUP-BrinaryBrains School Student Management System up to 1e70e5ad1125b86dca4ee086eb6bb121f17708b6. This impacts the function sign_auth_cookie of the file application/controllers/Login.php of the component MY_Controller. Executing a manipulation of the argument role can lead to improper authentication. It is possible to launch the attack remotely. The exploit has been made available to the public and could be used for attacks. This product takes the approach of rolling releases to provide continious delivery. Therefore, version details for affected and updated releases are not available. The project was informed of the problem early through an issue report but has not responded yet.
CVE-2026-10167 is a critical authentication bypass vulnerability in OUSL-GROUP-BrinaryBrains School Student Management System affecting the login authentication mechanism. An attacker can manipulate the 'role' parameter in the sign_auth_cookie function to bypass authentication controls and gain unauthorized access with elevated privileges. With a CVSS score of 7.3 and public exploit availability, this poses an immediate threat to educational institutions and organizations using this system.
IMMEDIATE ACTIONS:
1. Disable or restrict access to the affected School Student Management System until patching is available
2. Implement network-level access controls to limit exposure of the login interface
3. Enable enhanced logging and monitoring on the Login.php controller for suspicious role parameter manipulation
4. Review authentication logs for evidence of exploitation attempts
COMPENSATING CONTROLS:
1. Deploy Web Application Firewall (WAF) rules to detect and block requests with suspicious role parameter values
2. Implement multi-factor authentication (MFA) as an additional authentication layer
3. Apply input validation rules to restrict role parameter to expected values only
4. Use reverse proxy to enforce strict authentication checks before reaching the application
5. Implement rate limiting on login endpoints to prevent brute force attempts
DETECTION RULES:
1. Monitor for POST requests to Login.php with role parameter manipulation
2. Alert on authentication tokens with unexpected role values
3. Track failed authentication attempts followed by successful access with elevated privileges
4. Monitor for cookie manipulation attempts in sign_auth_cookie function
PATCHING:
1. Contact OUSL-GROUP-BrinaryBrains for security updates (rolling release model)
2. Establish communication with vendor for patch timeline
3. Prepare isolated test environment for patch validation
4. Plan maintenance window for deployment once patch becomes available
الإجراءات الفورية:
1. تعطيل أو تقييد الوصول إلى نظام إدارة الطلاب المتأثر حتى يتوفر التصحيح
2. تطبيق عناصر التحكم في الوصول على مستوى الشبكة لتحديد تعرض واجهة تسجيل الدخول
3. تفعيل السجلات المحسنة والمراقبة على وحدة تحكم Login.php للكشف عن التلاعب المريب بمعامل الدور
4. مراجعة سجلات المصادقة للبحث عن أدلة على محاولات الاستغلال
عناصر التحكم التعويضية:
1. نشر قواعد جدار حماية تطبيقات الويب (WAF) للكشف عن طلبات معامل الدور المريبة وحجبها
2. تطبيق المصادقة متعددة العوامل (MFA) كطبقة مصادقة إضافية
3. تطبيق قواعد التحقق من صحة الإدخال لتقييد معامل الدور بالقيم المتوقعة فقط
4. استخدام الخادم الوكيل العكسي لفرض فحوصات المصادقة الصارمة
5. تطبيق تحديد معدل على نقاط نهاية تسجيل الدخول لمنع محاولات القوة الغاشمة
قواعد الكشف:
1. مراقبة طلبات POST إلى Login.php مع التلاعب بمعامل الدور
2. التنبيه على رموز المصادقة ذات قيم الدور غير المتوقعة
3. تتبع محاولات المصادقة الفاشلة متبوعة بالوصول الناجح بامتيازات مرتفعة
4. مراقبة محاولات التلاعب بملفات تعريف الارتباط في دالة sign_auth_cookie
التصحيح:
1. الاتصال بـ OUSL-GROUP-BrinaryBrains للحصول على تحديثات الأمان
2. إنشاء اتصال مع البائع لجدول زمني للتصحيح
3. تحضير بيئة اختبار معزولة للتحقق من صحة التصحيح
4. التخطيط لنافذة صيانة للنشر بمجرد توفر التصحيح