The Grade Change Scam Playbook: How Students Lose Money to Fake Hackers

CVE-2025-10419：SourceCodester Student Grading System 1.0存在SQL注入漏洞，位于/del_promote.php文件中，sy参数未正确过滤，攻击者可远程执行任意SQL命令。CVE-2025-0212：同样影响Student Grading System 1.0，漏洞路径在/view_students.php文件的id参数，未经授权的攻击者可直接窃取数据库中所有学生敏感数据。CVE-2025-9679：影响SourceCodester Student Information System 1.0，SQL注入路径位于/course_edit1.php文件的ID参数，攻击者可在不经过认证或用户交互的情况下远程执行任意SQL命令。

第二类：越权访问（约占总漏洞的25%）

I-Educar 2.9.0的API端点（/module/Api/Diario）存在功能级别授权破坏漏洞，未经授权的用户可以直接修改学生成绩数据。公开数据显示，2024年全国高校78起敏感数据泄露事件中有62%与共享接口越权访问直接相关。

第三类：默认凭证与弱密码（约15%）

学号后六位或八位出生日期作为默认登录凭据在很多学校仍是通行做法。部分学校的新生账号统一密码永远不改，教务系统管理员账号使用初始密码的现象更为普遍。这类问题在技术社区中常被讨论——黑客利用系统功能或API提取学生成绩与通讯录数据便可完成整个攻击链。

第四类：身份认证缺陷（约10%）

CVE-2025-11434：影响SourceCodester Student Transcript Processing System 1.0，攻击者可利用/login.php文件中的认证绕过漏洞获取对敏感学生记录（包括成绩和学业数据）的完全访问权限，且可能被恶意行为者大规模提取或篡改。

第五类：客户端控制缺陷（约10%-15%）

CVE-2025-32808：Norton InQuizitive教育平台存在不受限制的客户端访问控制缺陷，学生可以在客户端直接操控接口，向服务器端数据库插入任意测验成绩数据。