Featured image of post CVE-2025-66310
XSS Moderado Grav Securança WebApp

CVE-2025-66310

Cross-Site Scripting (XSS) Armazenado

CVE-2025-66310: Cross-Site Scripting (XSS) Armazenado no Parêmetro data[header][template] do Endpoint /admin/pages/[page] na guia Avançado

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-66310

Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi identificada no endpoint /admin/pages/[page] do aplicativo Grav. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro data[header][template]. O script é salvo no frontmatter da página e executado automaticamente sempre que o conteúdo afetado é renderizado na interface administrativa ou na visualização do frontend.

Detalhes

Endpoint vulnerável: POST /admin/pages/[page]

Parâmetro: data[header][template]

O aplicativo não consegue sanitizar corretamente a entrada do usuário no campo data[header][template], que está armazenado no frontmatter YAML da página. Um invasor pode injetar código JavaScript usando este campo, e o payload é renderizado e executado quando a página é acessada, especialmente na interface do Painel de Administração.

PoC

Payload

1

<script>alert('PoC-XXS73')</script>

Passos para reproduzir:

  • Faça login no Painel de Administração do Grav e navegue até Páginas.
  • Crie uma nova página ou edite uma existente.
  • No campo Modelo Avançado (que corresponde a data[header][template]), insira o seguinte:

  • Salve a página.
  • Retorne à seção Páginas e clique no menu de três pontos da página afetada:

  • O payload XSS armazenado é acionado e o script é executado no navegador:

Impacto

  • Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
  • Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
  • Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
  • Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
  • Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
  • Danos à reputação: Erosão da confiança entre usuários e administradores do site.

Referência

https://github.com/getgrav/grav/security/advisories/GHSA-7g78-5g5g-mvfj

Encontrado por:

Marcelo Queiroz

By: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy