Karina Gante
Postagens Tags Categorias Sobre
Karina Gante

Conteúdos

CVE-2025-8544

Karina avatarKarina  incluído  na categoria CVE
    2 minutos   CC BY-NC 4.0   
XSS Armazenado no i-Educar via RegraAvaliacao/edit (Com PoC e Screenshots)

XSS Armazenado no i-Educar via RegraAvaliacao/edit (Com PoC e Screenshots)

🇺🇸 Read in English.

Durante a análise da funcionalidade de edição de regras de avaliação no sistema i-Educar, identifiquei uma vulnerabilidade de XSS armazenado no endpoint /module/RegraAvaliacao/edit. O parâmetro nome, responsável por armazenar o nome da regra de avaliação, aceita scripts maliciosos sem qualquer validação ou sanitização.
Esses scripts são salvos no servidor e executados automaticamente assim que a página de listagem de regras de avaliação é acessada.
Neste post, vou te mostrar como a falha foi explorada, incluindo os passos completos da PoC, screenshots e os impactos reais que esse tipo de vulnerabilidade pode causar em ambientes produtivos.

A CVE-2025-8544 descreve uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado no endpoint /module/RegraAvaliacao/edit da aplicação i-Educar.
O campo nome, utilizado para definir a descrição de uma regra de avaliação, pode ser preenchido com código JavaScript malicioso que será executado automaticamente na página /module/RegraAvaliacao/index.

Endpoint vulnerável: /module/RegraAvaliacao/edit

Parâmetro afetado: nome

Página de disparo (trigger): /module/RegraAvaliacao/index

Payload Utilizado:

"><img src=x onerror=alert('CVE-Hunters')>

Para explorar a falha, siga os seguintes passos:

Acesse o endpoint: /module/RegraAvaliacao/edit

Insira o payload no segundo campo: “Nome”

Preencha os demais campos obrigatórios com qualquer valor

Clique em: “Salvar”

A página /module/RegraAvaliacao/index será carregada automaticamente e o payload será executado:

Parâmetro nome
Relatório

Você pode acessar o relatório técnico completo aqui:

Relatório CVE-2025-8544

Esta vulnerabilidade de XSS armazenado pode ser explorada para:

  • Roubar cookies de sessão (session hijacking)

  • Instalar malwares nos dispositivos dos usuários

  • Capturar credenciais salvas no navegador

  • Redirecionar vítimas para sites maliciosos

  • Alterar a interface da aplicação (defacement)

  • Obter ou manipular dados sensíveis

  • Danificar a reputação institucional

A falha foi reportada eticamente e atribuída como:

Referências

CVE-2025-8544 no CVE.org

Entrada no VulDB

A CVE-2025-8544 mostra como até campos administrativos simples, como o nome de uma regra, podem ser utilizados como vetor de ataque se não forem devidamente validados.
É essencial aplicar validações rigorosas e sanitização de entradas em toda a aplicação, especialmente em módulos administrativos onde o impacto de um XSS pode ser muito maior.

Descoberto com💜 por Karina Gante.

LinkedIn GitHub gmail Instagram

Membro Oficial do CVE-Hunters🏹

Related Content

XSS Armazenado no i-Educar via RegraAvaliacao/edit (Com PoC e Screenshots)

CVE-2025-8538

XSS Armazenado no i-Educar via RegraAvaliacao/edit (Com PoC e Screenshots)

CVE-2025-8539

XSS Armazenado no i-Educar via RegraAvaliacao/edit (Com PoC e Screenshots)

CVE-2025-8540

XSS Armazenado no i-Educar via RegraAvaliacao/edit (Com PoC e Screenshots)

CVE-2025-8541

XSS Armazenado no i-Educar via RegraAvaliacao/edit (Com PoC e Screenshots)

CVE-2025-8542

CC BY-NC 4.0
 XSSI-EducarXSS ArmazenadoCVE-2025-8544Cibersegurança
 | Início