Een beveiligingsprobleem is ontdekt in Portabilis i-Educar versie 2.10, geïdentificeerd als CVE-2025-8542. Het betreft een cross site scripting (XSS) lek dat kwaadwillenden in staat stelt om vanaf afstand schadelijke scripts uit te voeren. Het lek treft de /intranet/empresas_cad.php file wanneer het argument fantasia/razao_social wordt gemanipuleerd. Dit probleem kan, indien uitgebuit, leiden tot ongeautoriseerde scriptuitvoering in de browser van het slachtoffer.
Let op: Er is een publiek bekende exploit beschikbaar en de leverancier heeft niet gereageerd op meldingen over deze kwetsbaarheid.
Overzicht
- Geaffecteerd Product: Portabilis i-Educar versie 2.10
- Ernst van de kwetsbaarheid: Medium (CVSS 4.8)
- Kwestbaarheidstype: Cross site scripting (CWE-79), Code Injection (CWE-94)
- Aanvalstype: Afgelegen aanvallen mogelijk
Aanbevelingen
Momenteel is er geen officiële update of patch beschikbaar van de leverancier. Het wordt aangeraden om strikte inputvalidatie toe te passen als tijdelijke maatregel en de toegang tot gevoelige scripts te beperken.
Bronnen
- VDB-318671 | Portabilis i-Educar empresas_cad.php cross site scripting
- CTI Indicators
- Derde Partij Advies
- Exploit Details op GitHub
Vraag en Antwoord
Wat is CVE-2025-8542?
Deze kwetsbaarheid betreft een cross site scripting (XSS) lek in Portabilis i-Educar, waarmee aanvallers schadelijke code kunnen uitvoeren in de browser van een slachtoffer.
Welke systemen zijn kwetsbaar?
Alle installaties van Portabilis i-Educar versie 2.10 zijn gevoelig voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Nee, er is momenteel geen patch of update beschikbaar voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan zonder toestemming code uitvoeren vanuit de webbrowser van een gebruiker, wat mogelijk kan leiden tot diefstal van sessies, zelfs zonder medeweten van de gebruiker.
