Plataforma
php
Corregido en
2.11.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en i-Educar versión 2.11. Esta falla permite a un atacante inyectar código malicioso en la aplicación, potencialmente comprometiendo la confidencialidad e integridad de los datos del usuario. La vulnerabilidad afecta a la función desconocida del archivo /intranet/educarservidorcurso_lst.php. Se recomienda actualizar a una versión corregida para mitigar el riesgo.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar scripts maliciosos en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, redirección a sitios web maliciosos, o la modificación del contenido de la página web. El atacante podría obtener acceso a información sensible, como datos personales de los usuarios o información confidencial del sistema. Dado que la explotación es pública, el riesgo de ataque es significativo y podría afectar a una amplia gama de usuarios de i-Educar.
La vulnerabilidad CVE-2026-4355 es de baja severidad según el CVSS. Existe un Proof of Concept (PoC) público, lo que indica que la vulnerabilidad es fácilmente explotable. La falta de respuesta por parte del proveedor dificulta la obtención de información sobre posibles campañas de explotación activas. La vulnerabilidad fue publicada el 2026-03-17.
Educational institutions and organizations utilizing Portabilis i-Educar version 2.11 are at risk. This includes schools, universities, and training centers that rely on i-Educar for learning management and student information systems. The lack of vendor response increases the risk for these organizations.
• wordpress / composer / npm:
grep -r "educar_servidor_curso_lst.php" /var/www/html/• generic web:
curl -I http://<target>/intranet/educar_servidor_curso_lst.php?Name=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a una versión de i-Educar que haya sido parcheada para corregir la falla XSS. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el archivo /intranet/educarservidorcurso_lst.php. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de ataque XSS conocidos. La monitorización de los logs de acceso y error del servidor también puede ayudar a detectar intentos de explotación.
Actualizar a una versión parcheada o aplicar las medidas de seguridad proporcionadas por el proveedor para mitigar la vulnerabilidad XSS. Dado que el proveedor no ha respondido, se recomienda revisar y sanear las entradas del argumento 'Name' en el archivo /intranet/educar_servidor_curso_lst.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4355 is a cross-site scripting (XSS) vulnerability affecting Portabilis i-Educar version 2.11, allowing attackers to inject malicious scripts via the 'Name' parameter in a specific file.
If you are using Portabilis i-Educar version 2.11, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it becomes available.
Upgrade to a patched version of i-Educar. Until a patch is released, implement input validation and sanitization on the 'Name' parameter and consider using a WAF.
A public proof-of-concept exists, suggesting a higher likelihood of active exploitation. Monitor your systems for suspicious activity.
Check the Portabilis website and security advisories for updates regarding CVE-2026-4355. As of the disclosure date, no advisory has been published.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.