Featured image of post CVE-2025-8368
XSS Moderado I-Educar Securança WebApp

CVE-2025-8368

Cross-Site Scripting (XSS) Refletido

CVE-2025-8368: Múltiplos Cross-Site Scripting (XSS) Refletido no endpoint pesquisa_pessoa_lst.php

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-8368

Resumo

Múltiplas vulnerabilidades de XSS (Cross-Site Scripting Refletido) foram identificadas no endpoint pesquisa_pessoa_lst.php do aplicativo i-Educar. Essa vulnerabilidade permite que invasores injetem scripts maliciosos nos parâmetros campo_busca e cpf.

Detalhes

Endpoint Vulnerável: pesquisa_pessoa_lst.php

Parâmetros: campo_busca e cpf

O aplicativo não consegue validar e sanitizar adequadamente as entradas do usuário nos parâmetros campo_busca e cpf. Essa falta de validação permite que invasores injetem scripts maliciosos, que são armazenados no servidor. Sempre que a página afetada é acessada, o payload malicioso é executado no navegador da vítima, potencialmente comprometendo os dados e o sistema do usuário.

PoC

Payload:

1

  %22%3E%3Cscript%3Ealert%28%27XSS-PoC%27%29%3C%2Fscript%3E

Esse payload pode ser injetado em qualquer um dos dois parâmetros. Exemplos de URLs de ataque:

Parâmetro campo_busca

1

  /intranet/pesquisa_pessoa_lst.php?campo_busca=%22%3E%3Cscript%3Ealert%28%27XSS-PoC%27%29%3C%2Fscript%3E

Parâmetro cpf

1

  /intranet/pesquisa_pessoa_lst.php?cpf=%22%3E%3Cscript%3Ealert%28%27XSS-PoC%27%29%3C%2Fscript%3E

Impacto

  • Roubo de cookies de sessão: Invasores podem usar cookies de sessão roubados para sequestrar a sessão de um usuário e executar ações em seu nome.
  • Baixar malware: Invasores podem induzir os usuários a baixar e instalar malware em seus computadores.
  • Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuário ou aplicar exploits baseados nele.
  • Roubo de credenciais: Invasores podem roubar as credenciais de um usuário.
  • Obter informações confidenciais: Invasores podem obter informações confidenciais armazenadas na conta de um usuário ou em seu navegador.
  • Desfigurar sites: Invasores podem desfigurar um site alterando seu conteúdo.
  • Desorientar usuários: Invasores podem alterar as instruções fornecidas aos usuários que visitam o site alvo, desorientando seu comportamento.
  • Prejudicar a reputação de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformação desfigurando um site corporativo.

Referência

https://github.com/CVE-Hunters/CVE/blob/main/i-educar/CVE-2025-8368.md

Encontrado por:

Marcelo Queiroz

By: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy