Een kwetsbaarheid in Portabilis i-Educar 2.10 maakt het mogelijk om via cross site scripting aanvallen uit te voeren. Deze kwetsbaarheid bevindt zich in de functionaliteit van het bestand /module/RegraAvaliacao/edit en kan op afstand worden misbruikt. De exploit is openbaar gedeeld en kan door kwaadwillenden worden gebruikt.
De kwetsbaarheid is geclassificeerd als problematisch met een impactscore van 4.8 (Medium) volgens CVSS 4.0. De leverancier Portabilis heeft tot op heden niet gereageerd op de melding.
Overzicht
De kwetsbaarheid beïnvloedt de argumentmanipulatie van nome en leidt tot cross site scripting, waardoor kwaadwillenden schadelijke scripts kunnen uitvoeren in de context van de eindgebruiker.
CWE-79: Cross Site Scripting
CWE-94: Code Injection
Aanbevelingen
- Controleer uw systemen vandaag nog op afwijkend gedrag en update indien mogelijk naar een nieuwere versie van de software zodra beschikbaar.
- Implementeer web application firewalls om ongeoorloofde toegangspogingen te blokkeren.
Bronnen
- VDB-318673 | Portabilis i-Educar edit cross site scripting
- VDB-318673 | CTI Indicators (IOB, IOC, TTP, IOA)
- Submit #620480 | Portabilis i-Educar 2.10 Cross Site Scripting
- Exploit op GitHub
Vraag en Antwoord
Wat is CVE-2025-8544?
Een kwetsbaarheid in het i-Educar systeem van Portabilis die kan leiden tot cross site scripting aanvallen.
Welke systemen zijn kwetsbaar voor CVE-2025-8544?
Systemen draaiend op Portabilis i-Educar versie 2.10 zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Tot op heden is er geen reactie of patch van de leverancier beschikbaar.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts uitvoeren in de context van de gebruiker, wat leidt tot potentiële gegevensdiefstal of sessieovername.
