CVE-2026-25962

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-25962
MarkUs is a web application for the submission and grading of student assignments. Prior to version 2.9.4, MarkUs currently extracts zip files without any size or entry-count limits. For example, instructors can upload a zip file to provide an assignment configuration; students can upload a zip file for an assignment submission and indicate its contents should be extracted. This issue has been patched in version 2.9.4.

6.5 /10

CVSS v3 : MEDIUM

V3 Legend

Vector :

Exploitability : 2.8 / Impact : 3.6

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required LOW

User Interaction NONE

Confidentiality Impact NONE

Integrity Impact NONE

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/MarkUsProject/Markus/releases/tag/v2.9.4
https://github.com/MarkUsProject/Markus/security/advisories/GHSA-x8xv-j7fc-65x5
Configurations

No configuration.

History

09 Mar 2026, 13:36

Type Values Removed Values Added
Summary
  • (es) MarkUs es una aplicación web para la entrega y calificación de tareas de estudiantes. Antes de la versión 2.9.4, MarkUs actualmente extrae archivos zip sin límites de tamaño o de número de entradas. Por ejemplo, los instructores pueden subir un archivo zip para proporcionar una configuración de tarea; los estudiantes pueden subir un archivo zip para la entrega de una tarea e indicar que su contenido debe ser extraído. Este problema ha sido parcheado en la versión 2.9.4.

06 Mar 2026, 04:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-06 04:16

Updated : 2026-03-09 13:36

NVD link : CVE-2026-25962

Mitre link : CVE-2026-25962

CVE.ORG link : CVE-2026-25962

JSON object : View

Products Affected

No product.

CWE
CWE-409

Improper Handling of Highly Compressed Data (Data Amplification)