CVE-2025-57205

Nome do Software Vulnerável e Versões Afetadas iNiLabs School Express (SMS Express) versão 6.2

Descrição O iNiLabs School Express (SMS Express) 6.2 é suscetível a uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado em seus recursos de gerenciamento de conteúdo, acessíveis a usuários administradores autenticados. A vulnerabilidade está presente em parâmetros submetidos via requisições POST ao endpoint /posts/edit/{id}, e em editores similares para Comunicados e Páginas. A sanitização de entrada e a codificação de saída insuficientes permitem que atacantes injetem payloads HTML/JS. Esses payloads são salvos e subsequentemente renderizados sem a sanitização adequada, levando à execução de JavaScript nos navegadores de outros usuários quando acessam o conteúdo afetado. Um atacante autenticado pode executar JavaScript arbitrário no contexto de outro usuário, potencialmente levando ao sequestro de sessão, escalonamento de privilégios, exfiltração de dados ou tomada de controle de conta administrativa. A aplicação carece de uma Política de Segurança de Conteúdo (CSP) restritiva ou mecanismos de filtragem adequados para prevenir esses ataques.

Recomendações Atualize para uma versão mais recente que contenha uma correção para esta vulnerabilidade.