CVE-2025-8507

CVE-2025-8507: Múltiplos Cross-Site Scripting (XSS) Refletido no endpoint `/intranet/educar_funcao_lst.php`

CVE Publication: https://www.cve.org/CVERecord?id=CVE-2025-8507

Resumo

Múltiplas vulnerabilidades de XSS (Cross-Site Scripting Refletido) foram identificadas no endpoint /intranet/educar_funcao_lst.php do aplicativo i-Educar. Essa vulnerabilidade permite que invasores injetem scripts maliciosos nos parâmetros nm_funcao e abreviatura.

Detalhes

Endpoint Vulnerável: /intranet/educar_funcao_lst.php

Parâmetros: nm_funcao e abreviatura

O aplicativo não consegue validar e sanitizar adequadamente as entradas do usuário nos parâmetros nm_funcao e abreviatura. Essa falta de validação permite que invasores injetem scripts maliciosos, que são armazenados no servidor. Sempre que a página afetada é acessada, o payload malicioso é executado no navegador da vítima, potencialmente comprometendo os dados e o sistema do usuário.

PoC

Payload:

1
  "><script>alert('XSS-PoC')</script>

O mesmo problema acontece com o parâmetro abreviatura.

Impacto

Roubo de cookies de sessão: Invasores podem usar cookies de sessão roubados para sequestrar a sessão de um usuário e executar ações em seu nome.
Baixar malware: Invasores podem induzir os usuários a baixar e instalar malware em seus computadores.
Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuário ou aplicar exploits baseados nele.
Roubo de credenciais: Invasores podem roubar as credenciais de um usuário.
Obter informações confidenciais: Invasores podem obter informações confidenciais armazenadas na conta de um usuário ou em seu navegador.
Desfigurar sites: Invasores podem desfigurar um site alterando seu conteúdo.
Desorientar usuários: Invasores podem alterar as instruções fornecidas aos usuários que visitam o site alvo, desorientando seu comportamento.
Prejudicar a reputação de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformação desfigurando um site corporativo.