Karina Gante
Postagens Tags Categorias Sobre
Karina Gante

Conteúdos

CVE-2025-10584

Karina avatarKarina  incluído  na categoria CVE
    2 minutos   CC BY-NC 4.0   
Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots).

🇺🇸 Read in English.

Durante a análise da funcionalidade de cadastro de calendários no sistema i-Educar, encontrei múltiplas vulnerabilidades de XSS armazenado no endpoint /intranet/educar_calendario_anotacao_cad.php. Os campos nm_anotacao e descricao permitiam a injeção de código malicioso sem qualquer tipo de validação.
Ao acessar a listagem de calendários, o script malicioso era executado automaticamente. A falha foi reconhecida oficialmente como CVE-2025-10584.
Neste post, mostro todos os detalhes técnicos, passo a passo da exploração e os riscos que esse tipo de falha representa.

A CVE-2025-10584 trata de duas vulnerabilidades de Cross-Site Scripting (XSS) armazenado no endpoint /intranet/educar_calendario_anotacao_cad.php do i-Educar.
Os parâmetros nm_anotacao e descricao não são devidamente sanitizados, permitindo que scripts maliciosos sejam salvos no servidor e executados automaticamente ao acessar a página /intranet/educar_calendario_anotacao_lst.php.

Endpoint vulnerável: /intranet/educar_calendario_anotacao_cad.php

Parâmetros afetados: nm_anotacao e descricao

Página de disparo (trigger): /intranet/educar_calendario_anotacao_lst.php

Payload usado:

"><img src=x onerror=alert('CVE-Hunters')>

Para reproduzir a vulnerabilidade, siga os seguintes passos:

1. Acesse o endpoint vulnerável e clique em "Novo Calendário Letivo".
2. Na nova página, clique em "Nova Anotação".
3. Insira o payload no primeiro campo ("Anotação") e no segundo campo ("Descrição").
4. Clique em "Salvar".

A página /intranet/educar_calendario_anotacao_lst.php será carregada automaticamente e o script será executado:

Parâmetro nm_anotacaoParâmetro descricao
Relatório

Você pode acessar o relatório técnico completo com todos os detalhes da exploração aqui:

Relatório CVE-2025-10584

A vulnerabilidade de Cross Site Scripting (XSS) pode ser explorada para:

  • Roubar cookies de sessão (session hijacking);
  • Instalar malwares nos dispositivos das vítimas;
  • Roubar credenciais salvas no navegador;
  • Redirecionar usuários para sites maliciosos;
  • Alterar a interface da aplicação (defacement);
  • Comprometer a reputação institucional.

A falha foi reportada de forma responsável e atribuída como:

Referências

CVE-2025-10584 no CVE.org

Entrada no VulDB

A CVE-2025-10584 demonstra que falhas de XSS podem estar presentes mesmo em campos que parecem inofensivos, como nm_anotacaos de empresas. Quando esses dados são refletidos em interfaces administrativas sem tratamento adequado, o risco de exploração aumenta.
Validar todos os dados de entrada — inclusive campos de texto aparentemente simples — é uma prática essencial para manter aplicações web seguras.

Descoberto com💜 por Karina Gante.

LinkedIn GitHub gmail Instagram

Membro Oficial do CVE-Hunters🏹

Related Content

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-10909

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-10844

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-10845

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-10846

Como Descobri Múltiplas Falhas de XSS Armazenado no i-Educar (Com PoC e Screenshots)

CVE-2025-10372

CC BY-NC 4.0
 XSSI-EducarXSS ArmazenadoCVE-2025-10584Cibersegurança
 | Início