Plataforma
php
Componente
vulnerability-research
Corregido en
2.0.1
2.1.1
2.2.1
2.3.1
2.4.1
2.5.1
2.6.1
2.7.1
2.8.1
2.9.1
2.10.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en i-Educar, afectando a las versiones desde 2.0 hasta 2.10. Esta falla permite a un atacante inyectar código malicioso en la página /intranet/meusdadod.php, comprometiendo la seguridad de los usuarios. La vulnerabilidad se puede explotar de forma remota y ya existe un Proof of Concept (PoC) disponible públicamente. La actualización a la versión 2.10 soluciona este problema.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar scripts maliciosos en el contexto del usuario afectado. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. Dado que la vulnerabilidad es explotable de forma remota y existe un PoC público, el riesgo de explotación es significativo. Un atacante podría, por ejemplo, inyectar un script que robe las credenciales de acceso de los administradores del sistema, permitiéndole obtener control total sobre la plataforma i-Educar.
Esta vulnerabilidad ha sido divulgada públicamente el 6 de febrero de 2026 y existe un PoC disponible, lo que indica una alta probabilidad de explotación. La falta de respuesta por parte del proveedor aumenta la preocupación. Aunque la severidad CVSS es LOW, la disponibilidad de un PoC y la facilidad de explotación la hacen un riesgo significativo, especialmente para sistemas expuestos a internet.
Educational institutions and organizations utilizing Portabilis i-Educar for student data management are at risk. Specifically, deployments running versions 2.0 through 2.10 are vulnerable. Shared hosting environments where i-Educar is installed may be particularly susceptible due to limited control over server configurations.
• php / web: Examine access logs for requests to /intranet/meusdadod.php with unusual or suspicious parameters in the 'File' argument. Look for patterns indicative of XSS payloads (e.g., <script> tags, event handlers).
• generic web: Use curl or wget to test the /intranet/meusdadod.php endpoint with a simple XSS payload (e.g., <script>alert('XSS')</script>). Observe the response for script execution.
• generic web: Check response headers for Content-Security-Policy (CSP) directives. A strong CSP can mitigate XSS even if the vulnerability exists.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar i-Educar a la versión 2.10, donde se ha solucionado el problema. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en la página /intranet/meusdadod.php. Además, se puede considerar la implementación de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Verifique después de la actualización que la página /intranet/meusdadod.php no sea vulnerable a inyecciones de script.
Actualice i-Educar a la versión 2.10 o superior. Esta versión contiene la corrección para la vulnerabilidad de Cross-Site Scripting (XSS) en la página de datos del usuario. La actualización mitigará el riesgo de ejecución de scripts maliciosos en el navegador de los usuarios.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2064 is a cross-site scripting (XSS) vulnerability in Portabilis i-Educar versions 2.0-2.10, allowing attackers to inject malicious scripts via the /intranet/meusdadod.php endpoint.
You are affected if you are running Portabilis i-Educar versions 2.0 through 2.10 and have not upgraded to version 2.10 or applied appropriate mitigations.
Upgrade to Portabilis i-Educar version 2.10 or later. Implement input validation and sanitization on the 'File' argument as a temporary workaround.
A public exploit exists, indicating a potential for active exploitation, especially for unpatched systems.
Refer to the Portabilis security advisories page for the latest information: [https://portabilis.org/security/](https://portabilis.org/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.