Karina Gante
Postagens Tags Categorias Sobre
Karina Gante

Conteúdos

CVE-2025-8538

Karina avatarKarina  incluído  na categoria CVE
    2 minutos   CC BY-NC 4.0   
Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

🇺🇸 Read in English.

Enquanto eu analisava o projeto Open-Source i-Educar, acabei esbarrando em algo inesperado: uma vulnerabilidade de XSS armazenado que poderia afetar silenciosamente qualquer pessoa usando o sistema. E não era só um campo — tanto os parâmetros name quanto description na rota /usuarios/tipos/novo estavam vulneráveis.
Depois de testar, documentar e reportar corretamente, a falha foi oficialmente reconhecida como CVE-2025-8538.
Neste post, vou te mostrar como encontrei a falha, como ela funciona e por que isso é relevante — com screenshots reais, uma PoC funcional e os impactos que esse tipo de bug pode causar em ambientes de produção.

A CVE-2025-8538 indica duas vulnerabilidades de Cross-Site Scripting (XSS) armazenadas no endpoint /usuarios/tipos/novo do i-Educar.
A vulnerabilidade é utilizada para injetar scripts maliciosos nos campos de nome e descrição.
Os códigos maliciosos ficam salvos no servidor e são disparados assim que a página /usuarios/tipos é carregada. Com isso, qualquer pessoa que acessar essa tela acaba executando o script sem perceber.

Endpoint vulnerável: /usuarios/tipos/novo

Parâmetros afetados: name, description

Página de disparo (trigger): /usuarios/tipos

Payload usado:

"><img src=x onerror=alert('CVE-Hunters')>

Para comprovar a falha, foi seguido o seguinte passo a passo:

Acesse o endpoint: /usuarios/tipos/novo

Insira o payload acima nos campos: Tipo de Usuário e Descrição

Clique em: “Salvar”

A página /usuarios/tipos será carregada automaticamente, disparando o XSS:

Parâmetro nameParâmetro description
Relatório

Você pode acessar o relatório completo e ver todo passo a passo por aqui:

Relatório CVE-2025-8538

A vulnerabilidade de Cross Site Scripting (XSS) pode ser explorada para:

  • Roubar cookies de sessão (session hijacking);
  • Instalar malwares nos dispositivos das vítimas;
  • Roubar credenciais salvas no navegador;
  • Redirecionar usuários para sites maliciosos;
  • Alterar a interface da aplicação (defacement);
  • Comprometer a reputação institucional.

A falha foi reportada eticamente e atribuída como:

Referências

CVE-2025-8538 no CVE.org

Entrada no VulDB

Essa descoberta reforça a importância da validação de inputs e da adoção de boas práticas de segurança no desenvolvimento web. Mesmo sistemas educacionais — que lidam com dados sensíveis de alunos e professores — não estão imunes a falhas críticas.
Se você é dev, sysadmin ou entusiasta de segurança, fica o alerta: nunca subestime o impacto de um XSS armazenado.

Descoberto com💜 por Karina Gante.

LinkedIn GitHub gmail Instagram

Membro Oficial do CVE-Hunters🏹

Related Content

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8539

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8540

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8541

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8542

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8543

CC BY-NC 4.0
 XSSI-EducarXSS ArmazenadoCVE-2025-8538Cibersegurança
 | Início