Como Obter 100% de Aceitação em Conferências, o Método Novee: Uma CVE de Alta Gravidade no Principal Software de Call-for-Papers
Aprofundamento CEVIU
Aprofundamento
Pesquisadores da Novee divulgaram uma falha de XSS armazenado (Cross-Site Scripting persistente) no pretalx, software amplamente usado para gerenciar chamadas de trabalhos (call-for-papers) em conferências. A vulnerabilidade permite que qualquer usuário registrado injete HTML ou JavaScript que é armazenado pelo sistema e depois executado no navegador de um organizador quando este realiza uma busca que corresponde ao conteúdo malicioso. O ataque é entregue, por exemplo, plantando um payload no título de uma submissão.
O detalhe técnico que torna o caso relevante é como o exploit contorna as proteções existentes. Em vez de depender de scripts via innerHTML (que costumam ser bloqueados), o exploit usa um iframe com o atributo srcdoc e carrega um arquivo .js de mesma origem para satisfazer a política de segurança de conteúdo (CSP). Com o código executando na sessão do organizador, o atacante consegue sequestrar essa sessão e, segundo a descrição da pesquisa, revogar permanentemente direitos de superusuário por meio de requisições GET autenticadas.
Por que isso importa
Conferências dependem do pretalx para receber e avaliar propostas, e muitas usam implantações compartilhadas, em que vários eventos rodam sobre a mesma infraestrutura. Nesse cenário, um único payload bem construído pode atingir diversos organizadores e eventos de uma só vez, ampliando muito o alcance do ataque. A combinação de XSS armazenado com tomada de conta de organizador transforma uma submissão comum em um vetor de comprometimento administrativo.
O nome irônico da pesquisa, sobre obter 100% de aceitação em conferências, aponta para o impacto prático. Quem controla a sessão de um organizador pode influenciar o processo de seleção, automatizar submissões em massa e manipular permissões. Por se tratar de uma falha classificada como de alta gravidade, o risco vai além do constrangimento e atinge a integridade do processo de revisão.
Impacto para desenvolvedores
Para quem desenvolve ou opera plataformas web, o caso reforça que CSP e o bloqueio de scripts via innerHTML não são barreiras absolutas. O uso de iframe com srcdoc e de um arquivo .js de mesma origem mostra como recursos legítimos do navegador podem ser combinados para burlar mitigações parciais. A lição central é tratar toda entrada de usuário, inclusive campos aparentemente inofensivos como títulos, como conteúdo não confiável que precisa de sanitização e codificação de saída adequadas no contexto em que é renderizado.
Equipes que mantêm instâncias do pretalx, especialmente em ambientes compartilhados, devem acompanhar as correções do projeto e revisar a exposição de ações sensíveis. Funcionalidades administrativas acionadas por GET autenticado são particularmente arriscadas, pois facilitam abuso a partir de código injetado. Reforçar isolamento entre eventos e revisar o modelo de permissões reduz o raio de impacto de falhas semelhantes.
Perguntas frequentes
O que é um XSS armazenado e por que ele é perigoso?
XSS armazenado é uma falha em que código malicioso enviado por um usuário fica salvo no sistema e é executado depois no navegador de outra pessoa. É perigoso porque não exige interação direta com o atacante e pode atingir muitas vítimas. No caso do pretalx, ele permite executar código na sessão de um organizador.
Quem está exposto à vulnerabilidade do pretalx?
Conferências que usam o pretalx para gerenciar chamadas de trabalhos estão potencialmente expostas, principalmente as que utilizam implantações compartilhadas. Qualquer usuário registrado pode injetar o payload, e organizadores que realizam buscas correspondentes são as vítimas. Isso amplia o alcance em ambientes com vários eventos na mesma infraestrutura.
Como o exploit consegue burlar a CSP e o bloqueio de scripts?
O exploit usa um iframe com o atributo srcdoc para evitar o bloqueio de scripts via innerHTML. Para satisfazer a política de segurança de conteúdo (CSP), ele carrega um arquivo .js a partir da mesma origem da aplicação. Essa combinação faz o código ser tratado como legítimo pelo navegador.
O que um atacante pode fazer após explorar a falha?
Após a execução do código, o atacante pode sequestrar a sessão do organizador e agir com os privilégios dele. A pesquisa indica que é possível revogar permanentemente direitos de superusuário por meio de requisições GET autenticadas. Também é possível automatizar submissões e plantar payloads em títulos para ampliar a exploração.
Fontes
- novee.securityfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 30 de maio de 2026
- Editoria
- CEVIU Segurança da Informação
