CVE-2025-7870: Cross-Site Scripting (XSS) Armazenado via Upload de SVG
Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-7870
Resumo
Um invasor pode carregadr um arquivo SVG malicioso contendo JavaScript incorporado que é executado quando o arquivo é acessado diretamente. Isso resulta em Cross-Site Scripting Armazenado (XSS).
Detalhes
O endpoint justificativas-de-falta permite que os usuários carreguem arquivos após carregarem um SVG criado. O XSS pode ser acionado ao abrir o arquivo.
Payload:
| |
PoC
Crie o arquivo com o payload e carregue-o no endpoint justificativas-de-falta:
Depois disso, abra o arquivo para acionar o XSS
Impacto
- Roubo de cookies de sessão: Invasores podem usar cookies de sessão roubados para sequestrar a sessão de um usuário e executar ações em seu nome.
- Baixar malware: Invasores podem induzir os usuários a baixar e instalar malware em seus computadores.
- Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuário ou aplicar exploits baseados nele.
- Roubo de credenciais: Invasores podem roubar as credenciais de um usuário.
- Obter informações confidenciais: Invasores podem obter informações confidenciais armazenadas na conta de um usuário ou em seu navegador.
- Desfigurar sites: Invasores podem desfigurar um site alterando seu conteúdo.
- Desorientar usuários: Invasores podem alterar as instruções fornecidas aos usuários que visitam o site alvo, desorientando seu comportamento.
- Prejudicar a reputação de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformação desfigurando um site corporativo.
Referência
https://github.com/CVE-Hunters/CVE/blob/main/i-diario/CVE-2025-7870.md
Encontrado por:
By: CVE-Hunters