CVE-2026-40284: Cross-Site Scripting (XSS) armazenado em Novo da função listar_despachos.php
Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2026-40284
Resumo
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada permite que um usuário autenticado injete JavaScript malicioso através do campo “Destinatário”. O código malicioso é armazenado e executado posteriormente ao visualizar a página de despacho, afetando outros usuários.
Detalhes
O aplicativo não consegue higienizar ou escapar corretamente o campo “Destinatário”, que é preenchido com dados controlados pelo usuário (nome do usuário). Quando um despacho é criado usando um nome malicioso contendo HTML/JavaScript, esse valor é armazenado no sistema.Durante a renderização da página de listagem de despachos, o aplicativo insere esses dados no DOM usando .html(), fazendo com que o navegador interprete e execute o código injetado.Isso resulta em uma vulnerabilidade de XSS armazenado devido à codificação de saída inadequada dos dados controlados pelo usuário.
- Endpoint vulnerável:
listar_despachos.php
PoC
Payload
| |
Passos para reproduzir:
1. Altere o nome de um usuário (ou crie um) com o payload.2. Crie um despacho selecionando este usuário como “Destinatário”.3. Acesse a página que lista ou exibe o despacho.4. Observe que o payload é executado no navegador:
Impacto
- Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
- Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
- Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
- Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
- Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
- Danos à reputação: Erosão da confiança entre usuários e administradores do site.
Referência
https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-mccp-8446-phw5
Encontrado por
Por: CVE-Hunters