Featured image of post CVE-2025-8508
XSS Moderado I-Educar Securança WebApp

CVE-2025-8508

Cross-Site Scripting (XSS) Armazenado

CVE-2025-8508: MĂșltiplos Cross-Site Scripting (XSS) Armazenado no endpoint /intranet/educar_avaliacao_desempenho_cad.php

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-8508

Resumo

MĂșltiplas vulnerabilidades de XSS (Cross-Site Scripting Armazenado) foram identificadas no endpoint /intranet/educar_avaliacao_desempenho_cad.php do aplicativo i-Educar. Essa vulnerabilidade permite que invasores injetem scripts maliciosos nos parĂąmetros titulo_avaliacao e descricao. Os scripts injetados sĂŁo armazenados no servidor e executados automaticamente sempre que a pĂĄgina afetada Ă© acessada pelos usuĂĄrios, representando um risco de segurança significativo.

Detalhes

Endpoint VulnerĂĄvel: /intranet/educar_avaliacao_desempenho_cad.php

ParĂąmetros: titulo_avaliacao e descricao

O aplicativo não consegue validar e sanitizar adequadamente as entradas do usuårio nos parùmetros titulo_avaliacao e descricao. Essa falta de validação permite que invasores injetem scripts maliciosos, que são armazenados no servidor. Sempre que a pågina afetada é acessada, o payload malicioso é executado no navegador da vítima, potencialmente comprometendo os dados e o sistema do usuårio.

PoC

Payload:

1

  <script>alert('PoC-XXS51')</script>

O payload foi enviado por meio dos campos titulo_avaliacao e descricao e armazenado com sucesso. Quando a pågina que exibe esses valores é acessada, o script é executado no contexto da sessão do navegador do usuårio, confirmando a presença de uma vulnerabilidade XSS armazenada.

Impacto

  • Roubo de cookies de sessĂŁo: Invasores podem usar cookies de sessĂŁo roubados para sequestrar a sessĂŁo de um usuĂĄrio e executar açÔes em seu nome.
  • Baixar malware: Invasores podem induzir os usuĂĄrios a baixar e instalar malware em seus computadores.
  • Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuĂĄrio ou aplicar exploits baseados nele.
  • Roubo de credenciais: Invasores podem roubar as credenciais de um usuĂĄrio.
  • Obter informaçÔes confidenciais: Invasores podem obter informaçÔes confidenciais armazenadas na conta de um usuĂĄrio ou em seu navegador.
  • Desfigurar sites: Invasores podem desfigurar um site alterando seu conteĂșdo.
  • Desorientar usuĂĄrios: Invasores podem alterar as instruçÔes fornecidas aos usuĂĄrios que visitam o site alvo, desorientando seu comportamento.
  • Prejudicar a reputação de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformação desfigurando um site corporativo.

ReferĂȘncia

https://github.com/CVE-Hunters/CVE/blob/main/i-educar/CVE-2025-8508.md

Encontrado por:

Marcelo Queiroz

By: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy