Karina Gante
Postagens Tags Categorias Sobre
Karina Gante

Conteúdos

CVE-2025-8542

Karina avatarKarina  incluído  na categoria CVE
    2 minutos   CC BY-NC 4.0   
Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

🇺🇸 Read in English.

Durante a análise da funcionalidade de cadastro de empresas no sistema i-Educar, encontrei múltiplas vulnerabilidades de XSS armazenado no endpoint /intranet/empresas_cad.php. Os campos fantasia e razão social permitiam a injeção de código malicioso sem qualquer tipo de validação.
Ao acessar a listagem de empresas, o script malicioso era executado automaticamente. A falha foi reconhecida oficialmente como CVE-2025-8542.
Neste post, mostro todos os detalhes técnicos, passo a passo da exploração e os riscos que esse tipo de falha representa.

A CVE-2025-8542 trata de duas vulnerabilidades de Cross-Site Scripting (XSS) armazenado no endpoint /intranet/empresas_cad.php do i-Educar.
Os parâmetros fantasia e razão social não são devidamente sanitizados, permitindo que scripts maliciosos sejam salvos no servidor e executados automaticamente ao acessar a página /intranet/empresas_lst.php.

Endpoint vulnerável: /intranet/empresas_cad.php

Parâmetros afetados: fantasia, razao_social

Página de disparo (trigger): /intranet/empresas_lst.php

Payload usado:

<img src=x onerror=alert(1)>

Para reproduzir a vulnerabilidade, siga os seguintes passos:

Acesse o endpoint: /intranet/empresas_cad.php

Insira o payload nos campos: “Nome Fantasia” e “Razão Social”

Os demais campos não precisam ser preenchidos

Clique em: “Salvar”

A página /intranet/empresas_lst.php será carregada automaticamente e o script será executado:

Parâmetro fantasiaParâmetro razao_social
Relatório

Você pode acessar o relatório técnico completo com todos os detalhes da exploração aqui:

Relatório CVE-2025-8542

A vulnerabilidade de Cross Site Scripting (XSS) pode ser explorada para:

  • Roubar cookies de sessão (session hijacking);
  • Instalar malwares nos dispositivos das vítimas;
  • Roubar credenciais salvas no navegador;
  • Redirecionar usuários para sites maliciosos;
  • Alterar a interface da aplicação (defacement);
  • Comprometer a reputação institucional.

A falha foi reportada de forma responsável e atribuída como:

Referências

CVE-2025-8542 no CVE.org

Entrada no VulDB

A CVE-2025-8542 demonstra que falhas de XSS podem estar presentes mesmo em campos que parecem inofensivos, como nomes de empresas. Quando esses dados são refletidos em interfaces administrativas sem tratamento adequado, o risco de exploração aumenta.
Validar todos os dados de entrada — inclusive campos de texto aparentemente simples — é uma prática essencial para manter aplicações web seguras.

Descoberto com💜 por Karina Gante.

LinkedIn GitHub gmail Instagram

Membro Oficial do CVE-Hunters🏹

Related Content

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8538

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8539

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8540

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8541

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-8543

CC BY-NC 4.0
 XSSI-EducarXSS ArmazenadoCVE-2025-8542Cibersegurança
 | Início