Featured image of post CVE-2026-4355
XSS Moderado I-Educar Securança WebApp

CVE-2026-4355

Cross-Site Scripting (XSS) Armazenado

CVE-2026-4355: Cross-Site Scripting (XSS) armazenado em Novo da função educar_servidor_curso_lst parâmetro name

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2026-4355

##Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi identificada no endpoint educar_servidor_curso_lst.php do aplicativo I-educar 2.11. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro name. Os scripts injetados são armazenados no servidor e executados automaticamente sempre que a página `CurricularComponent/view` é acessada pelos usuários, representando um risco de segurança significativo.

##Detalhes

Endpoint vulnerável: educar_servidor_curso_lst.php

Parâmetro: name

PoC

Payload

1

<script>alert(1)</script>

Passos para executar:

Registre o payload no campo `name` no endpoint `educar_servidor_curso_lst.php`.

Depois disso, o XSS pode ser acionado abrindo o endpoint `educar_servidor_curso_lst.php` correspondente ao nome editado. ID.

Impacto

  • Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
  • Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
  • Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
  • Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
  • Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
  • Danos à reputação: Erosão da confiança entre usuários e administradores do site.

Referência

https://github.com/Saiipe/CVE/blob/main/i-educar%2FCVE-2026-4355.md

Encontrado por

Itauan Santos

Por: CVE-Hunters

By: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy