Karina Gante
Postagens Tags Categorias Sobre
Karina Gante

Conteúdos

CVE-2025-9653

Karina avatarKarina  incluído  na categoria CVE
    2 minutos   CC BY-NC 4.0   
Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots).

🇺🇸 Read in English.

Durante a análise da funcionalidade de cadastro de empresas no sistema i-Educar, encontrei múltiplas vulnerabilidades de XSS armazenado no endpoint /intranet/educar_projeto_cad.php. Os campos nome e observacao permitiam a injeção de código malicioso sem qualquer tipo de validação.
Ao acessar a listagem de empresas, o script malicioso era executado automaticamente. A falha foi reconhecida oficialmente como CVE-2025-9653.
Neste post, mostro todos os detalhes técnicos, passo a passo da exploração e os riscos que esse tipo de falha representa.

A CVE-2025-9653 trata de duas vulnerabilidades de Cross-Site Scripting (XSS) armazenado no endpoint /intranet/educar_projeto_cad.php do i-Educar.
Os parâmetros nome e observacao não são devidamente sanitizados, permitindo que scripts maliciosos sejam salvos no servidor e executados automaticamente ao acessar a página /intranet/educar_projeto_lst.php.

Endpoint vulnerável: /intranet/educar_projeto_cad.php

Parâmetros afetados: nome e observacao

Página de disparo (trigger): /intranet/educar_projeto_lst.php

Payload usado:

"><img src=x onerror=alert('CVE-Hunters')>

Para reproduzir a vulnerabilidade, siga os seguintes passos:

1. Acesse o endpoint vulnerável.
2. Insira o payload no primeiro campo ("Nome do Projeto") e no segundo campo ("Observação").
3. Clique em "Salvar".

A página /intranet/educar_projeto_lst.php será carregada automaticamente e o script será executado:

Parâmetro nomeParâmetro observacao
Relatório

Você pode acessar o relatório técnico completo com todos os detalhes da exploração aqui:

Relatório CVE-2025-9653

A vulnerabilidade de Cross Site Scripting (XSS) pode ser explorada para:

  • Roubar cookies de sessão (session hijacking);
  • Instalar malwares nos dispositivos das vítimas;
  • Roubar credenciais salvas no navegador;
  • Redirecionar usuários para sites maliciosos;
  • Alterar a interface da aplicação (defacement);
  • Comprometer a reputação institucional.

A falha foi reportada de forma responsável e atribuída como:

Referências

CVE-2025-9653 no CVE.org

Entrada no VulDB

A CVE-2025-9653 demonstra que falhas de XSS podem estar presentes mesmo em campos que parecem inofensivos, como nomes de empresas. Quando esses dados são refletidos em interfaces administrativas sem tratamento adequado, o risco de exploração aumenta.
Validar todos os dados de entrada — inclusive campos de texto aparentemente simples — é uma prática essencial para manter aplicações web seguras.

Descoberto com💜 por Karina Gante.

LinkedIn GitHub gmail Instagram

Membro Oficial do CVE-Hunters🏹

Related Content

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-9652

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-9531

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-9532

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-9137

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-9138

CC BY-NC 4.0
 XSSI-EducarXSS ArmazenadoCVE-2025-9653Cibersegurança
 | Início