Relatório de Vulnerabilidade - Cross-Site Scripting (XSS) Stored no endpoint 'adicionar_alergia.php' #843
Assignees
Labels
Comments
lislovelly
changed the title
GabrielPintoSouza
added a commit
that referenced
this issue
Dec 23, 2024
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
Visão geral da vulnerabilidade
Foi identificada uma vulnerabilidade de segurança na aplicação web WeGIA, no endpoint 'adicionar_alergia.php', permitindo que um atacante injete scripts maliciosos. Os scripts injetados podem ser armazenados no servidor e são executados automaticamente sempre que a página afetada é acessada por um usuário.
Detalhes técnicos
A vulnerabilidade de XSS armazenado foi identificada em dois pontos:
Injeção de Payload:
Endpoint vulnerável: POST /html/saude/adicionar_alergia.php
Execução do XSS:
Endpoint de execução: POST /html/saude/profile_paciente.php?id_fichamedica=1
Payload malicioso:
Prova de Conceito (PoC)
XSS armazenado no servidor:
Análise:
XSS Stored: O payload malicioso é armazenado no servidor, e é executado sempre que a página afetada é acessada, comprometendo a segurança de qualquer usuário que visualize o conteúdo malicioso.
Mapeamento OWASP Top 10:
A03:2021 – Injeção: A falta de validação e sanitização adequada das entradas do usuário permite a injeção de scripts maliciosos, possibilitando ataques de XSS armazenado.
The text was updated successfully, but these errors were encountered: