https://www.cvehunters.com/pt/p/cve-2026-40282/Cross-Site Scripting (XSS) Armazenadohttps://www.cvehunters.com/pt/p/cve-2026-40282/https://www.cvehunters.com/pt/p/cve-2026-40282/<h2 id="cve-2026-40282-cross-site-scripting-xss-armazenado-em-novo-da-função-intercorrencia_visualizarphp">CVE-2026-40282: Cross-Site Scripting (XSS) armazenado em Novo da função <code>intercorrencia_visualizar.php</code> </h2><blockquote> <p><em><strong>Publicação CVE: <a class="link" href="https://www.cve.org/CVERecord?id=CVE-2026-40282" target="_blank" rel="noopener" >https://www.cve.org/CVERecord?id=CVE-2026-40282</a></strong></em></p> </blockquote> <h2 id="resumo">Resumo </h2><p style="text-align: justify;">Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada permite que um usuário autenticado injete JavaScript malicioso na página de notificações do Intercorrências, o qual é executado quando o usuário acessa a página, possibilitando o sequestro de sessão e a tomada de controle da conta.</p> <h2 id="detalhes">Detalhes </h2><p style="text-align: justify;">O aplicativo não higieniza ou codifica corretamente o campo de nome de usuário, que é exibido em notificações do sistema e aceita entrada controlada pelo usuário. Um atacante pode injetar HTML ou JavaScript malicioso neste campo ao criar ou modificar um usuário.</br>Quando uma “intercorrência” é registrada, uma notificação é gerada. Ao clicar nesta notificação, o aplicativo renderiza o nome de usuário na interface sem o devido escape, fazendo com que qualquer código injetado seja executado no navegador.</br>Este comportamento demonstra codificação de saída inadequada, resultando em uma vulnerabilidade de XSS armazenado.</p><h2 id="cve-2026-40282-cross-site-scripting-xss-armazenado-em-novo-da-função-intercorrencia_visualizarphp">CVE-2026-40282: Cross-Site Scripting (XSS) armazenado em Novo da função <code>intercorrencia_visualizar.php</code> </h2><blockquote> <p><em><strong>Publicação CVE: <a class="link" href="https://www.cve.org/CVERecord?id=CVE-2026-40282" target="_blank" rel="noopener" >https://www.cve.org/CVERecord?id=CVE-2026-40282</a></strong></em></p> </blockquote> <h2 id="resumo">Resumo </h2><p style="text-align: justify;">Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada permite que um usuário autenticado injete JavaScript malicioso na página de notificações do Intercorrências, o qual é executado quando o usuário acessa a página, possibilitando o sequestro de sessão e a tomada de controle da conta.</p> <h2 id="detalhes">Detalhes </h2><p style="text-align: justify;">O aplicativo não higieniza ou codifica corretamente o campo de nome de usuário, que é exibido em notificações do sistema e aceita entrada controlada pelo usuário. Um atacante pode injetar HTML ou JavaScript malicioso neste campo ao criar ou modificar um usuário.</br>Quando uma “intercorrência” é registrada, uma notificação é gerada. Ao clicar nesta notificação, o aplicativo renderiza o nome de usuário na interface sem o devido escape, fazendo com que qualquer código injetado seja executado no navegador.</br>Este comportamento demonstra codificação de saída inadequada, resultando em uma vulnerabilidade de XSS armazenado.</p> <ul> <li>Endpoint vulnerável: <code>intercorrencia_visualizar.php</code></li> </ul> <h2 id="poc">PoC </h2><h3 id="payload">Payload </h3><div class="highlight"><div class="chroma"> <table class="lntable"><tr><td class="lntd"> <pre tabindex="0" class="chroma"><code><span class="lnt">1 </span></code></pre></td> <td class="lntd"> <pre tabindex="0" class="chroma"><code class="language-html" data-lang="html"><span class="line"><span class="cl"><span class="p"><</span><span class="nt">img</span> <span class="na">src</span><span class="o">=</span><span class="s">1</span> <span class="na">onerror</span><span class="o">=</span><span class="s">alert("XSS")</span><span class="p">></span> </span></span></code></pre></td></tr></table> </div> </div><h3 id="passos-para-reproduzir">Passos para reproduzir: </h3><p style="text-align: justify;"><b>1.</b> Cadastre um paciente onde o campo "Nome" ou "Sobrenome" contenha o payload.</br></br><b>2.</b> Adicione uma entrada de "Intercorrência" para este usuário.</br></br><b>3.</b> Navegue até a página de notificações "Intercorrências" e clique em "Recentes" e "Histórico". Esta vulnerabilidade afeta ambas as páginas.</br></br><b>4.</b> Observe que o payload é executado no navegador:</p> <p><img src="/p/cve-2026-40282/image.png" width="603" height="330" srcset="/p/cve-2026-40282/image_hu_dfc5bc911aa9fe3a.png 480w, /p/cve-2026-40282/image_hu_581b1a4709b48d43.png 1024w" loading="lazy" class="gallery-image" data-flex-grow="182" data-flex-basis="438px" /></p> <h2 id="impacto">Impacto </h2><p style="text-align: justify;"> <ul> <li>Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.</li> <li>Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.</li> <li>Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.</li> <li>Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.</li> <li>Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.</li> <li>Danos à reputação: Erosão da confiança entre usuários e administradores do site.</li> </ul> </p> <h2 id="referência">Referência </h2><p><em><strong><a class="link" href="https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-r6h8-7vxv-q8pp" target="_blank" rel="noopener" >https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-r6h8-7vxv-q8pp</a></strong></em></p> <h2 id="encontrado-por">Encontrado por </h2><p><a class="link" href="https://br.linkedin.com/in/thiagoescarrone" target="_blank" rel="noopener" ><img src="/assets/contributors/50x50/thiago50x50.png" loading="lazy" /></a> <a class="link" href="https://br.linkedin.com/in/thiagoescarrone" target="_blank" rel="noopener" >Thiago Escarrone</a></p> <blockquote> <p><em><strong>Por: <a class="link" href="https://github.com/CVE-Hunters/cve-hunters" target="_blank" rel="noopener" >CVE-Hunters</a></strong></em></p> </blockquote> <blockquote> <p><em><strong>By: <a class="link" href="https://github.com/CVE-Hunters/cve-hunters" target="_blank" rel="noopener" >CVE-Hunters</a></strong></em></p> </blockquote>Fri, 17 Apr 2026 00:00:00 +0000