A security vulnerability has been detected in OUSL-GROUP-BrinaryBrains School Student Management System up to 1e70e5ad1125b86dca4ee086eb6bb121f17708b6. Affected is the function marks of the file application/controllers/Parents.php. The manipulation of the argument param1 leads to improper control of resource identifiers. The attack can be initiated remotely. The exploit has been disclosed publicly and may be used. Continious delivery with rolling releases is used by this product. Therefore, no version details of affected nor updated releases are available. The project was informed of the problem early through an issue report but has not responded yet.
CVE-2026-10168 is a medium-severity vulnerability in OUSL-GROUP-BrinaryBrains School Student Management System affecting the marks function in Parents.php. The vulnerability allows improper control of resource identifiers through manipulation of the param1 argument, enabling remote exploitation. With no patch available and public disclosure, organizations using this system face immediate risk of unauthorized access to student academic records.
Immediate Actions:
1. Inventory all instances of OUSL-GROUP-BrinaryBrains School Student Management System across your organization
2. Restrict network access to the Parents.php controller using WAF rules or network segmentation
3. Implement input validation on the param1 parameter to reject non-numeric or unexpected resource identifiers
4. Enable detailed logging and monitoring of all requests to the marks function in Parents.php
5. Review access logs for suspicious param1 manipulation attempts dating back 90 days
Compensating Controls:
6. Deploy Web Application Firewall (WAF) rules to block requests with suspicious param1 values
7. Implement role-based access control (RBAC) verification at the application level
8. Apply rate limiting to the marks endpoint to prevent enumeration attacks
9. Require multi-factor authentication for parent portal access
10. Isolate the student management system on a separate network segment with restricted egress
Detection Rules:
- Monitor for param1 values outside expected range (e.g., negative numbers, extremely large integers)
- Alert on sequential param1 parameter enumeration attempts
- Track failed authorization attempts to marks function
- Flag requests from unusual geographic locations or IP ranges
الإجراءات الفورية:
1. قم بحصر جميع نسخ نظام إدارة الطلاب BrinaryBrains من OUSL-GROUP في مؤسستك
2. قيد الوصول إلى متحكم Parents.php باستخدام قواعد WAF أو تقسيم الشبكة
3. طبق التحقق من صحة الإدخال على معامل param1 لرفض معرفات الموارد غير الرقمية أو غير المتوقعة
4. فعّل التسجيل والمراقبة التفصيلية لجميع الطلبات إلى وظيفة العلامات في Parents.php
5. راجع سجلات الوصول للكشف عن محاولات التلاعب المريبة بـ param1 خلال آخر 90 يوماً
الضوابط البديلة:
6. نشر قواعد جدار الحماية (WAF) لحجب الطلبات ذات قيم param1 المريبة
7. طبق التحكم في الوصول القائم على الأدوار (RBAC) على مستوى التطبيق
8. طبق تحديد معدل على نقطة نهاية العلامات لمنع هجمات التعداد
9. اطلب المصادقة متعددة العوامل لوصول بوابة الوالدين
10. عزل نظام إدارة الطلاب على قطاع شبكة منفصل مع خروج مقيد
قواعد الكشف:
- راقب قيم param1 خارج النطاق المتوقع (مثل الأرقام السالبة أو الأعداد الصحيحة الكبيرة جداً)
- أصدر تنبيهات عند محاولات تعداد معامل param1 المتسلسلة
- تتبع محاولات الفشل في التفويض لوظيفة العلامات
- علّم الطلبات من مواقع جغرافية أو نطاقات IP غير عادية