Featured image of post CVE-2025-6477
XSS Moderado SourceCodester Securança WebApp

CVE-2025-6477

Cross-Site Scripting (XSS) Armazenado

CVE-2025-6477: Cross-Site Scripting (XSS) Armazenado no endpoint system parâmetro School Name

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-6477

Resumo

Uma vulnerabilidade de XSS (Cross-Site Scripting Armazenado) foi identificada no endpoint system do aplicativo Student Result Management System 1.0 (SRMS 1.0) por Source Codester. Essa vulnerabilidade permite que invasores injetem scripts maliciosos no parâmetro School Name da aplicação. Os scripts injetados são armazenados no servidor e executados automaticamente sempre que a página afetada é acessada pelos usuários, representando um risco de segurança significativo.

Detalhes

Endpoint Vulnerável: /srms/script/admin/students

Parâmetro: School Name

O aplicativo não consegue validar e sanitizar adequadamente as entradas do usuário no parâmetro School Name. Essa falta de validação permite que invasores injetem scripts maliciosos, que são armazenados no servidor. Sempre que a página afetada é acessada, o payload malicioso é executado no navegador da vítima, potencialmente comprometendo os dados e o sistema do usuário.

PoC

Payload:

1

  <script>alert('PoC VulDB SRMS')</script>

VĂ­deo PoC:

https://youtu.be/FhPQLGorbqA

Impacto

  • Roubo de cookies de sessĂŁo: Invasores podem usar cookies de sessĂŁo roubados para sequestrar a sessĂŁo de um usuário e executar ações em seu nome.
  • Baixar malware: Invasores podem induzir os usuários a baixar e instalar malware em seus computadores.
  • Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuário ou aplicar exploits baseados nele.
  • Roubo de credenciais: Invasores podem roubar as credenciais de um usuário.
  • Obter informações confidenciais: Invasores podem obter informações confidenciais armazenadas na conta de um usuário ou em seu navegador.
  • Desfigurar sites: Invasores podem desfigurar um site alterando seu conteĂşdo.
  • Desorientar usuários: Invasores podem alterar as instruções fornecidas aos usuários que visitam o site alvo, desorientando seu comportamento.
  • Prejudicar a reputação de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformação desfigurando um site corporativo.

ReferĂŞncia

https://github.com/RaulPazemecxas/PoCVulDb/blob/main/CVE-2025-6477.md

Encontrado por:

Raul Pazemécxas

By: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy