Featured image of post CVE-2026-6990
XSS Moderado SIGA Securança WebApp

CVE-2026-6990

Cross-Site Scripting (XSS) Armazenado

CVE-2026-6990: Cross-Site Scripting (XSS) armazenado em Novo da função /sigawf/app/responsavel/novo parâmetro Descrição

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2026-6990

##Resumo

Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi identificada no endpoint /sigawf/app/responsavel/novo do aplicativo SIGA. Essa vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro Descrição. Os scripts injetados são armazenados no servidor e executados automaticamente sempre que a página /sigawf/app/responsavel/listar é acessada pelos usuários, representando um risco de segurança significativo.

Detalhes

Endpoint vulnerável: /sigawf/app/responsavel/novo

Parâmetro: Descrição

PoC

Payload 

1

<img src=x onerror=alert(document.cookie)//

Passos para executar:

Registre o payload no campo Descrição no endpoint /sigawf/app/responsavel/novo.

Depois disso, o XSS pode ser acionado abrindo o endpoint /sigawf/app/responsavel/listar.

Impacto

  • Sequestro de sessão: Roubo de cookies ou tokens de autenticação para se passar por outros usuários.
  • Roubo de credenciais: Coleta de nomes de usuário e senhas usando scripts maliciosos.
  • Distribuição de malware: Distribuição de código indesejado ou prejudicial às vítimas.
  • Elevação de privilégios: Comprometimento de usuários administrativos por meio de scripts persistentes.
  • Manipulação ou adulteração de dados: Alteração ou interrupção do conteúdo do site.
  • Danos à reputação: Erosão da confiança entre usuários e administradores do site.

Referência

https://github.com/ViniCastro2001/Security_Reports/tree/main/siga/Stored-XSS-Responsavel

Encontrado por

Vinicius Castro

Por: CVE-Hunters

© 2020 - 2026 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy