Een ernstige kwetsbaarheid, aangeduid als CVE-2025-9104, is ontdekt in het Portabilis i-Diario systeem tot en met versie 1.5.0. Deze beveiligingslek laat cross site scripting toe binnen de pagina ‘Informações Adicionais’, meer specifiek in het pad /planos-de-aulas-por-disciplina/. Dergelijke kwetsbaarheden brengen risico’s met zich mee voor zowel gebruikers als beheerders, omdat kwaadwillenden potentieel kwaadaardige scripts kunnen injecteren die zonder detectie kunnen opereren.
Overzicht
Deze kwetsbaarheid maakt remote exploits mogelijk op basis van gebruikersinteractie en kan leiden tot code-injectie. Het standaard aanvalspad maakt gebruik van onvoldoende gevalideerde argumenten zoals Parecer/Objeto de Conhecimento/Habilidades.
Aanbevelingen
- Upgrade naar een nieuwere versie dan 1.5.0 zodra een patch beschikbaar is.
- Monitor actief op ongebruikelijke activiteiten binnen het systeem.
- Implementeer web application firewalls om XSS-aanvallen te detecteren en blokkeren.
Bronnen
- VDB-320426 | Portabilis i-Diario Informações Adicionais XSS
- VDB-320426 | CTI Indicators
- CVE-2025-9104 GitHub Repository
- Submit #627565 | Portabilis i-diario XSS Stored
Vraag en Antwoord
Wat is CVE-2025-9104?
CVE-2025-9104 betreft een cross site scripting (XSS) kwetsbaarheid in meerdere versies van het Portabilis i-Diario systeem. Kwaadwillenden kunnen via manipulatie van specifieke argumenten scripts injecteren.
Welke systemen zijn kwetsbaar voor CVE-2025-9104?
Systemen waarop Portabilis i-Diario versies 1.0 tot en met 1.5.0 draaien, zijn kwetsbaar.
Bestaat er al een patch of beveiligingsupdate?
Op dit moment is er nog geen officiële patch uitgebracht. Het advies is te wachten op een update en eventuele verkeersmonitoring te implementeren.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan scripts uitvoeren binnen de gebruikerscontext, mogelijke gegevens stelen of andere kwaadaardige activiteiten uitvoeren zonder detectie.
