Op 2 augustus 2025 is er een kwetsbaarheid gevonden in Portabilis i-Educar versie 2.9, aangeduid als CVE-2025-8508. Deze kwetsbaarheid betreft een cross site scripting (XSS) probleem dat kan worden uitgebuit via de /intranet/educar_avaliacao_desempenho_cad.php file. Aanvallers kunnen deze kwetsbaarheid op afstand misbruiken door de titulo_avaliacao of descricao parameter te manipuleren. Bewijs van concept (PoC) is publiekelijk bekend, waardoor de kans op misbruik aanzienlijk is.
Dit probleem is ingedeeld als middelmatig ernstig met een CVSS-score van 5.1. De leverancier is vroegtijdig geïnformeerd, maar heeft geen reactie gegeven.
Overzicht
De kwaadaardige manipulatie van de invoerparameters in het systeem kan leiden tot een cross site scripting aanval. Dit stelt aanvallers in staat om schadelijke scripts in te voegen die worden uitgevoerd bij andere gebruikers, zonder hun medeweten. Hierdoor kan potentieel toegang worden verkregen tot gevoelige informatie, zoals gebruikerssessies.
Bronnen
- VDB-318607 | Portabilis i-Educar educar_avaliacao_desempenho_cad.php cross site scripting
- VDB-318607 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #618678 | Portabilis i-Educar 2.9 Cross Site Scripting
- GitHub | CVE-2025-8508 details
Vraag en Antwoord
Wat is CVE-2025-8508?
CVE-2025-8508 is een kwetsbaarheid in Portabilis i-Educar versie 2.9 die cross site scripting mogelijk maakt via een specifieke PHP-bestand.
Welke systemen zijn kwetsbaar voor CVE-2025-8508?
Systemen die Portabilis i-Educar versie 2.9 draaien zonder updates of patches zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Er zijn momenteel geen reacties of beveiligingspatches door de leverancier verstrekt.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts uitvoeren binnen de context van andermans sessie, wat kan leiden tot gegevensdiefstal of sessie-overname.
