Featured image of post CVE-2025-66308
XSS Moderado Grav Securança WebApp

CVE-2025-66308

Cross-Site Scripting (XSS) Armazenado

CVE-2025-66308: Cross-Site Scripting (XSS) Armazenado no Parêmetro data[taxonomies] do Endpoint /admin/config/site

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-66308

Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi identificada no endpoint /admin/config/site do aplicativo Grav. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro data[taxonomies]. O payload injetado é armazenado no servidor e executado automaticamente no navegador de qualquer usuário que acesse a configuração do site afetado, resultando em um vetor de ataque persistente.

Detalhes

Endpoint vulnerável: POST /admin/config/site

Parâmetro: data[taxonomies]

O aplicativo não valida ou higieniza corretamente a entrada no campo data[taxonomies]. Como resultado, um atacante pode injetar código JavaScript, que é armazenado na configuração do site e posteriormente renderizado na interface administrativa ou na saída do site, causando execução automática no navegador do usuário.

PoC

Payload

1

"><script>alert('XSS-PoC')</script>

Passos para reproduzir:

  • Faça login no Painel de Administração do Grav com permissões suficientes para modificar a configuração do site.
  • Navegue até Configuração > Site.
  • No campo Tipos de Taxonomias (que corresponde a data[taxonomies]), insira o payload.
  • Salve a configuração.

  • Acesse as Páginas e clique em uma delas.

  • O payload armazenado é executado imediatamente no navegador, confirmando a vulnerabilidade XSS armazenada.

  • A requisição HTTP enviada durante este processo contém o parâmetro e o payload vulneráveis:

Impacto

  • Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
  • Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
  • Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
  • Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
  • Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
  • Danos à reputação: Erosão da confiança entre usuários e administradores do site.

Referência

https://github.com/getgrav/grav/security/advisories/GHSA-gqxx-248x-g29f

Encontrado por:

Marcelo Queiroz

By: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy