Plataforma
php
Componente
wegia
Corregido en
3.6.8
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) en WeGIA, un gestor web para instituciones benéficas. Esta vulnerabilidad, presente en versiones 3.6.6 y anteriores, permite a un atacante inyectar código JavaScript malicioso. El impacto principal es la posible ejecución de scripts no deseados en el navegador de los usuarios, comprometiendo su sesión y la integridad de la aplicación. La versión 3.6.7 ya incluye la corrección.
La vulnerabilidad XSS en WeGIA se manifiesta en el endpoint novo_memorandoo.php a través del parámetro GET sccs. Un atacante puede manipular este parámetro para inyectar código JavaScript arbitrario, que será directamente reflejado en la respuesta HTML sin ninguna sanitización. Esto permite la ejecución de scripts maliciosos en el contexto del usuario que visita la página, lo que podría resultar en el robo de cookies de sesión, redirecciones a sitios web maliciosos, o la modificación de contenido visible para el usuario. La falta de validación adecuada del parámetro sccs es la causa raíz del problema. Un ataque exitoso podría comprometer la confidencialidad, integridad y disponibilidad de la información gestionada por WeGIA, afectando tanto a los administradores como a los usuarios de la plataforma.
Esta vulnerabilidad fue publicada el 2026-03-20. No se ha reportado su inclusión en el KEV de CISA ni la existencia de exploits públicos activos. Sin embargo, la naturaleza de XSS la convierte en un vector de ataque común y potencialmente explotable, especialmente en entornos donde la aplicación WeGIA es ampliamente utilizada. La disponibilidad de un proof-of-concept (POC) podría aumentar significativamente el riesgo de explotación.
Charitable institutions and organizations using WeGIA version 3.6.6 or earlier are at significant risk. This includes organizations relying on WeGIA for managing donor information, financial records, and other sensitive data. Shared hosting environments where multiple organizations share the same WeGIA instance are particularly vulnerable, as a compromise of one organization could potentially impact others.
• generic web: Use curl to test the novomemorandoo.php endpoint with a simple JavaScript payload in the sccs parameter (e.g., curl 'http://wegia-instance/?novomemorandoo.php&sccs=<script>alert(1)</script>').
• generic web: Examine access and error logs for requests containing suspicious JavaScript code in the sccs parameter.
• php: Review the novo_memorandoo.php file for the vulnerable code (line 273) and ensure proper sanitization/encoding of user input.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar WeGIA a la versión 3.6.7, que incluye la corrección. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es configurar un Web Application Firewall (WAF) para bloquear solicitudes con patrones sospechosos en el parámetro sccs. También se puede implementar una validación y codificación estrictas de la entrada del usuario en el archivo novo_memorandoo.php, asegurando que cualquier dato proveniente del parámetro sccs sea tratado como texto plano y no como código ejecutable. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta revisando el código fuente o realizando pruebas de penetración.
Actualice WeGIA a la versión 3.6.7 o superior. Esta versión contiene una corrección para la vulnerabilidad XSS. La actualización se puede realizar descargando la nueva versión desde el sitio web del proveedor o utilizando el mecanismo de actualización incorporado en la aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33135 is a critical Reflected Cross-Site Scripting (XSS) vulnerability in WeGIA versions 3.6.6 and below, allowing attackers to inject JavaScript code.
Yes, if you are using WeGIA version 3.6.6 or earlier, you are vulnerable to this XSS attack.
Upgrade WeGIA to version 3.6.7 or later to resolve this vulnerability. Implement a WAF rule as a temporary workaround.
While no active exploitation has been confirmed, the vulnerability's simplicity suggests it is likely to be targeted.
Refer to the WeGIA official website or security advisories for the latest information and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.