Featured image of post CVE-2025-8511
XSS Moderado I-DiƔrio SecuranƧa WebApp

CVE-2025-8511

Cross-Site Scripting (XSS) Armazenado

CVE-2025-8511: Cross-Site Scripting (XSS) Armazenado no endpoint /diario-de-observacoes/[ID] parĆ¢metro ObservaƧƵes > DescriĆ§Ć£o

PublicaĆ§Ć£o CVE: https://www.cve.org/CVERecord?id=CVE-2025-8511

Resumo

Uma vulnerabilidade de XSS (Cross-Site Scripting Armazenado) foi identificada no endpoint /diario-de-observacoes/[ID] do aplicativo i-DiĆ”rio. Essa vulnerabilidade permite que invasores injetem scripts maliciosos no parĆ¢metro ObservaƧƵes > DescriĆ§Ć£o. Os scripts injetados sĆ£o armazenados no servidor e executados automaticamente sempre que a pĆ”gina afetada Ć© acessada pelos usuĆ”rios, representando um risco de seguranƧa significativo.

Detalhes

Endpoint VulnerƔvel: /diario-de-observacoes/[ID]

ParĆ¢metro: ObservaƧƵes > DescriĆ§Ć£o

O aplicativo nĆ£o consegue validar e sanitizar adequadamente as entradas do usuĆ”rio no parĆ¢metro ObservaƧƵes > DescriĆ§Ć£o. Essa falta de validaĆ§Ć£o permite que invasores injetem scripts maliciosos, que sĆ£o armazenados no servidor. Sempre que a pĆ”gina afetada Ć© acessada, o payload malicioso Ć© executado no navegador da vĆ­tima, potencialmente comprometendo os dados e o sistema do usuĆ”rio.

PoC

Payload:

1

  <script>alert('PoC-XXS2')</script>

Impacto

  • Roubo de cookies de sessĆ£o: Invasores podem usar cookies de sessĆ£o roubados para sequestrar a sessĆ£o de um usuĆ”rio e executar aƧƵes em seu nome.
  • Baixar malware: Invasores podem induzir os usuĆ”rios a baixar e instalar malware em seus computadores.
  • Sequestro de navegadores: Invasores podem sequestrar o navegador de um usuĆ”rio ou aplicar exploits baseados nele.
  • Roubo de credenciais: Invasores podem roubar as credenciais de um usuĆ”rio.
  • Obter informaƧƵes confidenciais: Invasores podem obter informaƧƵes confidenciais armazenadas na conta de um usuĆ”rio ou em seu navegador.
  • Desfigurar sites: Invasores podem desfigurar um site alterando seu conteĆŗdo.
  • Desorientar usuĆ”rios: Invasores podem alterar as instruƧƵes fornecidas aos usuĆ”rios que visitam o site alvo, desorientando seu comportamento.
  • Prejudicar a reputaĆ§Ć£o de uma empresa: Invasores podem prejudicar a imagem de uma empresa ou espalhar desinformaĆ§Ć£o desfigurando um site corporativo.

ReferĆŖncia

https://github.com/CVE-Hunters/CVE/blob/main/i-diario/CVE-2025-8511.md

Encontrado por:

Marcelo Queiroz

By: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy