CVE-2024-45057

Versões do i-Educar anteriores à 2.9

Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS) refletido na geração dinâmica de campos HTML. O arquivo ieducar/intranet/include/clsCampos.inc.php não valida nem sanitiza adequadamente as entradas controladas pelo usuário, o que leva à vulnerabilidade. Qualquer página que utilize essa implementação é afetada, como “intranet/educar curso lst.php?nm curso=”, “intranet/atendidos lst.php?nm pessoa=”, “intranet/educar abandono tipo lst?nome=”. A falta de sanitização dos parâmetros controlados pelo usuário permite que um invasor injete uma carga XSS específica, que pode ser executada no navegador da vítima.

Para versões anteriores à 2.9, aplique o patch contido no commit f2d768534aabc09b2a1fc8a5cc5f9c93925cb273 para resolver o problema. Como solução temporária, considere restringir o acesso ao arquivo vulnerável clsCampos.inc.php até que o patch seja aplicado. Evite usar os parâmetros vulneráveis nm curso, nm pessoa e nome nos endpoints da API afetados até que o problema seja resolvido. Recomenda-se que os usuários entrem em contato com o desenvolvedor e coordenem um cronograma de atualização.