Op 2 augustus 2025 is een kwetsbaarheid ontdekt in Portabilis i-Educar versie 2.10, specifiek in de functie Gerar binnen het bestand ieducar/intranet/educar_matricula_lst.php. Dit probleem maakt het mogelijk dat een aanvaller cross-site scripting (XSS) aanvallen uitvoert via de parameter ref_cod_aluno. De aanval kan op afstand worden uitgevoerd zonder dat de gebruiker dit weet.
Overzicht
Deze kwetsbaarheid, aangeduid als CVE-2025-8510, is reeds publiekelijk uitgebuit en kan ernstige consequenties hebben omdat een aanvaller onbevoegde scripts kan injecteren die gebruikerssession cookies kunnen stelen of kwaadaardige acties kunnen uitvoeren in de context van de aangemelde gebruiker.
Aanbevelingen
- Het wordt sterk aanbevolen om de beschikbare patch zo snel mogelijk te implementeren. De patch kan worden geïdentificeerd met de commit-hash
82c288b9a4abb084bdfa1c0c4ef777ed45f98b46en is beschikbaar via deze link.
Bronnen
- VDB-318609 | Portabilis i-Educar educar_matricula_lst.php Gerar cross site scripting
- Exploit beschrijving op GitHub
Vraag en Antwoord
Wat is CVE-2025-8510?
Dit is een cross-site scripting kwetsbaarheid in Portabilis i-Educar die de functie Gerar beïnvloedt, het laat aanvallers toe om scripts uit te voeren in de context van een andere gebruiker.
Welke systemen zijn kwetsbaar voor CVE-2025-8510?
Systeemversies 2.10 van Portabilis i-Educar zijn kwetsbaar voor deze aanval.
Version: 2.10
Bestaat er al een patch of beveiligingsupdate?
Ja, er is een patch beschikbaar die geïnstalleerd moet worden. U kunt deze vinden op GitHub.
Wat kan een aanvaller met deze kwetsbaarheid?
Eenvoudig gezegd kan een aanvaller kwaadaardige scripts injecteren die worden uitgevoerd in de context van de huidige gebruiker, wat kan leiden tot privacyschendingen of ongeautoriseerde toegang tot gebruikerssessies.
