Vulnerabilidad en Portabilis i-Educar 2.9 (CVE-2025-8510)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
03/08/2025
Última modificación:
12/08/2025
Descripción
Se ha encontrado una vulnerabilidad clasificada como problemática en Portabilis i-Educar 2.10. Esta afecta a la función Gerar del archivo ieducar/intranet/educar_matricula_lst.php. La manipulación del argumento ref_cod_aluno provoca ataques de Cross-Site Scripting. El ataque puede ejecutarse en remoto. Se ha hecho público el exploit y puede que sea utilizado. El identificador del parche es 82c288b9a4abb084bdfa1c0c4ef777ed45f98b46. Se recomienda aplicar un parche para solucionar este problema. El proveedor inicialmente cerró el aviso original sin solicitar una CVE.
Impacto
Puntuación base 4.0
5.10
Gravedad 4.0
MEDIA
Puntuación base 3.x
3.50
Gravedad 3.x
BAJA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:portabilis:i-educar:2.10.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/CVE-Hunters/CVE/blob/main/i-educar/Reflected%20Cross-Site%20Scripting%20(XSS)%20in%20educar_matricula_lst.php%20via%20ref_cod_aluno%20Parameter.md
- https://github.com/portabilis/i-educar/commit/82c288b9a4abb084bdfa1c0c4ef777ed45f98b46
- https://github.com/portabilis/i-educar/compare/GHSA-88xc-64vw-g4xg
- https://vuldb.com/?ctiid_318609=
- https://vuldb.com/?id_318609=
- https://vuldb.com/?submit_618964=