CVE-2026-40283: Cross-Site Scripting (XSS) armazenado em Novo da função profile_paciente.php
Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2026-40283
Resumo
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada permite que um usuário autenticado injete JavaScript malicioso através do campo “Nome” na página “Informações Pacientes”. O código malicioso é armazenado e executado quando as informações do paciente são visualizadas.
Detalhes
O aplicativo não higieniza ou codifica corretamente o campo "Nome", que aceita entrada controlada pelo usuário. Um invasor pode inserir HTML ou JavaScript malicioso nesse campo ao criar ou editar um paciente.Ao acessar a página “Informações Pacientes”, esse valor é renderizado no DOM sem o devido tratamento, o que leva à execução do código injetado no navegador.Esse comportamento indica codificação de saída inadequada e resulta em uma vulnerabilidade XSS armazenada.
- Endpoint vulnerável:
profile_paciente.php
PoC
Payload
| |
Passos para reproduzir:
1. Cadastre um paciente onde o campo “Nome” contenha o código malicioso.2. Navegue até a página “Informações do Paciente” do paciente criado.3. Observe que o código malicioso é executado no navegador:
Impacto
- Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
- Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
- Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
- Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
- Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
- Danos à reputação: Erosão da confiança entre usuários e administradores do site.
Referência
https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-x74c-gwj9-6cwr
Encontrado por
Por: CVE-Hunters