Featured image of post CVE-2026-40282
XSS Moderado WeGia Securança WebApp

CVE-2026-40282

Cross-Site Scripting (XSS) Armazenado

CVE-2026-40282: Cross-Site Scripting (XSS) armazenado em Novo da função intercorrencia_visualizar.php

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2026-40282

Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada permite que um usuário autenticado injete JavaScript malicioso na página de notificações do Intercorrências, o qual é executado quando o usuário acessa a página, possibilitando o sequestro de sessão e a tomada de controle da conta.

Detalhes

O aplicativo não higieniza ou codifica corretamente o campo de nome de usuário, que é exibido em notificações do sistema e aceita entrada controlada pelo usuário. Um atacante pode injetar HTML ou JavaScript malicioso neste campo ao criar ou modificar um usuário.
Quando uma “intercorrência” é registrada, uma notificação é gerada. Ao clicar nesta notificação, o aplicativo renderiza o nome de usuário na interface sem o devido escape, fazendo com que qualquer código injetado seja executado no navegador.
Este comportamento demonstra codificação de saída inadequada, resultando em uma vulnerabilidade de XSS armazenado.

  • Endpoint vulnerável: intercorrencia_visualizar.php

PoC

Payload

1

<img src=1 onerror=alert("XSS")>

Passos para reproduzir:

1. Cadastre um paciente onde o campo "Nome" ou "Sobrenome" contenha o payload.

2. Adicione uma entrada de "Intercorrência" para este usuário.

3. Navegue até a página de notificações "Intercorrências" e clique em "Recentes" e "Histórico". Esta vulnerabilidade afeta ambas as páginas.

4. Observe que o payload é executado no navegador:

Impacto

  • Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
  • Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
  • Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
  • Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
  • Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
  • Danos à reputação: Erosão da confiança entre usuários e administradores do site.

Referência

https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-r6h8-7vxv-q8pp

Encontrado por

Thiago Escarrone

Por: CVE-Hunters

By: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy