CVE-2025-66312: Cross-Site Scripting (XSS) Armazenado no Parêmetro data[header][template] do Endpoint /admin/pages/[page] na guia Avançado
Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-66312
Resumo
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi identificada no endpoint /admin/accounts/groups/Grupo do aplicativo Grav. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro data[readableName]. O script é salvo no frontmatter da página e executado automaticamente sempre que o conteúdo afetado é renderizado na interface administrativa ou na visualização do frontend.
Detalhes
Endpoint vulnerável: POST /admin/accounts/groups/Grupo
Parâmetro: data[readableName]
PoC
Payload
| |
Passos para reproduzir:
- Navegue até Contas > Grupos no painel administrativo.
- Crie um novo grupo ou edite um existente.
- No campo Nome de Exibição (que corresponde a
data[readableName]), insira o payload acima e salve as alterações.
- A seguinte solicitação HTTP foi gerada durante esta ação:
- Em seguida, acesse Contas > Usuários e abra qualquer perfil de usuário.
- O script malicioso é executado imediatamente no navegador quando a página carrega, confirmando a existência de uma vulnerabilidade XSS armazenada.
Impacto
- Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
- Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
- Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
- Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
- Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
- Danos à reputação: Erosão da confiança entre usuários e administradores do site.
Referência
https://github.com/getgrav/grav/security/advisories/GHSA-rmw5-f87r-w988
Encontrado por:
By: CVE-Hunters