Featured image of post CVE-2025-66309
XSS Moderado Grav Securança WebApp

CVE-2025-66309

Cross-Site Scripting (XSS) Refletido

CVE-2025-66309: Cross-Site Scripting (XSS) refletido no endpoint /admin/pages/[page], parâmetro data[header][content][items], localizado na aba “Configuração do Blog”

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-66309

Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) refletido foi identificada no endpoint /admin/pages/[page] do aplicativo Grav. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro data[header][content][items].

Detalhes

Endpoint vulnerável: GET /admin/pages/[page]

Parâmetro: data[header][content][items]

O aplicativo não valida e sanitiza corretamente a entrada do usuário no parâmetro data[header][content][items]. Como resultado, atacantes podem criar uma URL maliciosa com um payload XSS. Quando este URL é acessado, o script injetado é refletido na resposta HTTP e executado no contexto da sessão do navegador da vítima.

PoC

Payload:

1

"><ImG sRc=x OnErRoR=alert('XSS-PoC3')>

  • Faça login no Painel de Administração do Grav e navegue até Páginas.
  • Crie uma nova página ou edite uma existente.
  • No campo Avançado > Configuração do Blog > Itens (que corresponde a data[header][content][items]), insira o payload acima.

  • Salve a página.
  • A carga maliciosa é refletida e renderizada pelo aplicativo sem a devida sanitização. O código JavaScript é executado imediatamente no navegador.

Impacto

  • Roubo de cookies de sessão: Invasores podem usar cookies de sessão roubados para sequestrar a sessão de um usuário e executar ações em seu nome.
  • Baixar malware: Invasores podem induzir os usuários a baixar e instalar malware em seus computadores.
  • Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuário ou aplicar exploits baseados nele.
  • Roubo de credenciais: Invasores podem roubar as credenciais de um usuário.
  • Obter informações confidenciais: Invasores podem obter informações confidenciais armazenadas na conta de um usuário ou em seu navegador.
  • Desfigurar sites: Invasores podem desfigurar um site alterando seu conteúdo.
  • Desorientar usuários: Invasores podem alterar as instruções fornecidas aos usuários que visitam o site alvo, desorientando seu comportamento.
  • Prejudicar a reputação de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformação desfigurando um site corporativo.

Referência

https://github.com/getgrav/grav/security/advisories/GHSA-65mj-f7p4-wggq

Encontrado por:

Marcelo Queiroz

By: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy