Plattform
php
Komponente
wegia
Behoben in
3.6.11
CVE-2026-40284 describes a Stored Cross-Site Scripting (XSS) vulnerability discovered in WeGIA, a web manager for charitable institutions. This vulnerability allows an authenticated user to inject malicious JavaScript code, potentially leading to session hijacking, defacement, or redirection. The vulnerability affects versions 3.6.0 through 3.6.10, and a patch is available in version 3.6.10.
CVE-2026-40284 betrifft WeGIA, ein Web-Management-Tool für gemeinnützige Organisationen. Diese Schwachstelle ist ein gespeichertes Cross-Site-Scripting (XSS)-Problem, das es einem authentifizierten Benutzer ermöglicht, bösartigen JavaScript-Code über das Feld 'Destinatário' (Empfänger) einzuschleusen. Die Nutzlast wird gespeichert und anschließend ausgeführt, wenn die Versandseite aufgerufen wird, was andere Benutzer potenziell beeinträchtigen kann. Der CVSS-Score beträgt 6,8, was ein mittleres Risiko anzeigt. Die gespeicherte Natur der Schwachstelle bedeutet, dass der Angriff bestehen bleiben und mehrere Benutzer ohne wiederholte Einspeisung beeinträchtigen kann. Dies könnte zu Diebstahl von Anmeldeinformationen, Datenmanipulation oder Weiterleitung auf bösartige Websites führen. Die Schwere des Einfalls hängt von den Berechtigungen des betroffenen Benutzers und der Sensibilität der von WeGIA verwalteten Daten ab.
Ein authentifizierter Angreifer mit Zugriff auf das Feld 'Destinatário' kann diese Schwachstelle ausnutzen. Der Angreifer schleust bösartigen JavaScript-Code in dieses Feld ein. Wenn ein anderer Benutzer (oder derselbe Angreifer) die Versandseite aufruft, wird der JavaScript-Code im Kontext des Browsers des Benutzers ausgeführt, wodurch der Angreifer bösartige Aktionen ausführen kann. Die Ursache der Schwachstelle ist das Fehlen einer ordnungsgemäßen Validierung der Benutzereingaben im Feld 'Destinatário'. Die Persistenz des bösartigen Codes in der Datenbank bedeutet, dass die Schwachstelle wiederholt ausgenutzt werden kann, ohne dass eine neue Einspeisung erforderlich ist.
Charitable institutions and organizations utilizing WeGIA version 3.6.0 through 3.6.10 are at risk. Specifically, organizations with multiple authenticated users and those who rely on WeGIA for managing beneficiary information and donations are particularly vulnerable. Shared hosting environments where multiple WeGIA instances reside on the same server could also amplify the impact of a successful attack.
• php: Examine WeGIA application logs for suspicious JavaScript injection attempts in the 'Destinatário' field. Look for patterns like <script> tags or javascript: URLs.
grep -i 'javascript:|script' /var/log/apache2/access.log | grep 'wegia'• generic web: Use curl to test the dispatch page with a simple XSS payload in the 'Destinatário' field and observe the response for signs of script execution.
curl -X POST -d "Destinatario=<script>alert('XSS')</script>" http://wegia-instance/dispatch.php• generic web: Check the HTML source code of the dispatch page for any injected JavaScript code. Inspect the 'Destinatário' field for unexpected script tags.
disclosure
Exploit-Status
EPSS
0.04% (12% Perzentil)
CISA SSVC
CVSS-Vektor
Die Lösung für CVE-2026-40284 ist die Aktualisierung von WeGIA auf Version 3.6.10 oder höher. Diese Version enthält eine Korrektur, die die XSS-Schwachstelle mildert. Es wird empfohlen, dieses Update so schnell wie möglich anzuwenden, insbesondere wenn WeGIA von mehreren Benutzern verwendet wird oder sensible Informationen verarbeitet. Überprüfen Sie außerdem die Audit-Protokolle auf Anzeichen früherer Angriffe und ergreifen Sie Korrekturmaßnahmen. Die Implementierung robuster Sicherheitsrichtlinien, wie z. B. die Validierung und Bereinigung von Benutzereingaben, kann dazu beitragen, zukünftige XSS-Schwachstellen zu verhindern. Regelmäßige Penetrationstests sind ebenfalls eine gute Praxis, um potenzielle Sicherheitslücken zu identifizieren und zu beheben.
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos del campo 'Destinatário', evitando la inyección de código malicioso.
Schwachstellenanalysen und kritische Warnungen direkt in deinen Posteingang.
XSS (Cross-Site Scripting) ist eine Art von Sicherheitsschwachstelle, die es Angreifern ermöglicht, bösartige Skripte in Webseiten einzuschleusen, die von anderen Benutzern aufgerufen werden.
Version 3.6.10 behebt die XSS-Schwachstelle in WeGIA und verhindert so die Ausführung von bösartigem Code.
Überprüfen Sie die Audit-Protokolle, ändern Sie alle Benutzerpasswörter und erwägen Sie, eine umfassende Sicherheitsprüfung durchzuführen.
Implementieren Sie robuste Sicherheitsrichtlinien, wie z. B. die Validierung und Bereinigung von Benutzereingaben, und führen Sie regelmäßige Penetrationstests durch.
Sie finden weitere Informationen in Schwachstellen-Datenbanken wie der NVD (National Vulnerability Database) oder auf der WeGIA-Website.
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.