Featured image of post CVE-2025-66311
XSS Moderado Grav Securança WebApp

CVE-2025-66311

Cross-Site Scripting (XSS) Armazenado

CVE-2025-66311: Cross-Site Scripting (XSS) Armazenado no Endpoint /admin/pages/[page] em Múltiplos Parâmetros

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-66311

Resumo

Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada em múltiplos endpoints: /admin/pages/[page] do aplicativo Grav. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos nos parâmetros data[header][metadata], data[header][taxonomy][category] e data[header][taxonomy][tag]. Esses scripts são armazenados no frontmatter da página e executados automaticamente sempre que a página afetada é acessada ou renderizada na interface administrativa.

Detalhes

Endpoint Vulnerável: POST /admin/pages/[page]

Parâmetros: data[header][metadata], data[header][taxonomy][category] and data[header][taxonomy][tag]

O aplicativo não consegue higienizar corretamente a entrada do usuário ao salvar metadados da página ou campos de taxonomia por meio do Painel de Administração. Como resultado, um invasor com acesso à interface administrativa pode injetar um script malicioso usando esses parâmetros, e o script será armazenado no frontmatter YAML da página. Quando a página ou os metadados são renderizados (especialmente no Painel de Administração), o payload é executado no navegador de qualquer usuário com acesso.

PoC

Payload:

1

<script>alert('PoC-XXS51')</script>

Passos para Reproduzir:

  • Faça login no Painel de Administração do Grav e navegue até Páginas.
  • Crie ou edite uma página.
  • Insira o código acima em qualquer um dos seguintes campos na aba Opções: Nome da chave de Metadados; Categoria em Taxonomia; Tag em Taxonomia:

  • Salve a página.

Quando a página é carregada novamente no Painel de Administração ou, potencialmente, no frontend (dependendo de como os metadados são usados), o script é executado, confirmando a vulnerabilidade de XSS armazenado.

Impacto

  • Roubo de cookies de sessão: Invasores podem usar cookies de sessão roubados para sequestrar a sessão de um usuário e executar ações em seu nome.
  • Baixar malware: Invasores podem induzir os usuários a baixar e instalar malware em seus computadores.
  • Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuário ou aplicar exploits baseados nele.
  • Roubo de credenciais: Invasores podem roubar as credenciais de um usuário.
  • Obter informações confidenciais: Invasores podem obter informações confidenciais armazenadas na conta de um usuário ou em seu navegador.
  • Desfigurar sites: Invasores podem desfigurar um site alterando seu conteúdo.
  • Desorientar usuários: Invasores podem alterar as instruções fornecidas aos usuários que visitam o site alvo, desorientando seu comportamento.
  • Prejudicar a reputação de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformação desfigurando um site corporativo.

Referência

https://github.com/getgrav/grav/security/advisories/GHSA-mpjj-4688-3fxg

Encontrado por

Marcelo Queiroz

By: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy