Karina Gante
Postagens Tags Categorias Sobre
Karina Gante

Conteúdos

CVE-2025-8539

Karina avatarKarina  incluído  na categoria CVE
    2 minutos   CC BY-NC 4.0   
Como Encontrei um XSS Armazenado no i-Educar em public_distrito_cad.php (Com PoC e Screenshots)

Como Encontrei um XSS Armazenado no i-Educar em public_distrito_cad.php (Com PoC e Screenshots)

🇺🇸 Read in English.

Durante a análise contínua do projeto i-Educar, identifiquei mais uma vulnerabilidade: desta vez, um XSS armazenado no endpoint /intranet/public_distrito_cad.php. O campo nome não realiza a devida sanitização dos dados, permitindo a injeção de scripts maliciosos que são executados automaticamente na listagem dos distritos.
Após investigação completa, a falha foi reconhecida como CVE-2025-8539.
Neste artigo, compartilho detalhes técnicos, passo a passo da PoC, screenshots e o impacto que essa falha representa para a aplicação.

A CVE-2025-8539 descreve uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no endpoint /intranet/public_distrito_cad.php do i-Educar.
O problema ocorre no parâmetro nome, que permite a inserção de scripts maliciosos sem qualquer validação.
Esses scripts ficam salvos no servidor e são executados automaticamente ao acessar a página de listagem: /intranet/public_distrito_lst.php.

Endpoint vulnerável: /intranet/public_distrito_cad.php

Parâmetro afetado: nome

Página de disparo (trigger): /intranet/public_distrito_lst.php

Payload usado:

"><img src=x onerror=alert('CVE-Hunters')>

Para comprovar a vulnerabilidade, realizei os seguintes passos:

Acesse o endpoint: /intranet/public_distrito_cad.php

Insira o payload acima no campo: Nome

Clique em: “Salvar”

A página /intranet/public_distrito_lst.php será carregada automaticamente, disparando o XSS:

Parâmetro nome
Relatório

Você pode acessar o relatório completo e ver todo passo a passo por aqui:

Relatório CVE-2025-8539

A vulnerabilidade de Cross Site Scripting (XSS) pode ser explorada para:

  • Roubar cookies de sessão (session hijacking);
  • Instalar malwares nos dispositivos das vítimas;
  • Roubar credenciais salvas no navegador;
  • Redirecionar usuários para sites maliciosos;
  • Alterar a interface da aplicação (defacement);
  • Comprometer a reputação institucional.

A falha foi reportada eticamente e atribuída como:

Referências

CVE-2025-8539 no CVE.org

Entrada no VulDB

Mesmo um único campo sem validação pode se tornar uma porta de entrada para ataques com potencial alto de impacto. A CVE-2025-8539 reforça a importância da validação e sanitização de inputs em todas as etapas do desenvolvimento.
Se você trabalha com aplicações web, especialmente sistemas que lidam com dados públicos ou educacionais, é essencial revisar cada ponto de entrada do usuário com cuidado.
Falhas simples, como essa, podem passar despercebidas — mas representam riscos reais.

Descoberto com💜 por Karina Gante.

LinkedIn GitHub gmail Instagram

Membro Oficial do CVE-Hunters🏹

Related Content

Como Encontrei um XSS Armazenado no i-Educar em public_distrito_cad.php (Com PoC e Screenshots)

CVE-2025-8538

Como Encontrei um XSS Armazenado no i-Educar em public_distrito_cad.php (Com PoC e Screenshots)

CVE-2025-8540

Como Encontrei um XSS Armazenado no i-Educar em public_distrito_cad.php (Com PoC e Screenshots)

CVE-2025-8541

Como Encontrei um XSS Armazenado no i-Educar em public_distrito_cad.php (Com PoC e Screenshots)

CVE-2025-8542

Como Encontrei um XSS Armazenado no i-Educar em public_distrito_cad.php (Com PoC e Screenshots)

CVE-2025-8543

CC BY-NC 4.0
 XSSI-EducarXSS ArmazenadoCVE-2025-8539Cibersegurança
 | Início