Plataforma
php
Componente
wegia
Corregido en
3.6.8
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en WeGIA, un gestor web para instituciones benéficas. Esta falla permite a un atacante inyectar código JavaScript o etiquetas HTML arbitrarias en la respuesta HTML, comprometiendo la seguridad de los usuarios. La vulnerabilidad afecta a las versiones 3.6.6 y anteriores, y se encuentra solucionada en la versión 3.6.7.
La vulnerabilidad XSS en WeGIA permite a un atacante ejecutar código JavaScript malicioso en el navegador de un usuario legítimo. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o la ejecución de acciones en nombre del usuario. El atacante podría, por ejemplo, robar información confidencial de los usuarios, como datos bancarios o información personal, o incluso tomar el control de la cuenta del usuario. La inyección se realiza a través del parámetro sccd en la solicitud GET al endpoint listarmemorandosativos.php, explotando la falta de sanitización de la entrada.
La vulnerabilidad fue publicada el 20 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de XSS la hace fácilmente explotable. La falta de sanitización de la entrada facilita la inyección de código malicioso. Se recomienda monitorear los logs de la aplicación en busca de patrones de ataque XSS.
Charitable institutions using WeGIA versions 3.6.6 and earlier are at significant risk. Organizations relying on WeGIA for managing donor information or beneficiary data are particularly vulnerable, as a successful XSS attack could lead to data breaches and reputational damage. Shared hosting environments where multiple websites share the same server resources may also be affected if one website is compromised.
• php: Examine access logs for requests to /html/memorando/listarmemorandosativos.php containing unusual or obfuscated characters in the sccd GET parameter.
grep 'sccd=[a-zA-Z0-9><"\;]+' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple XSS payload and observe the response.
curl 'http://wegia-server/html/memorando/listar_memorandos_ativos.php?sccd=<script>alert("XSS")</script>' • generic web: Check response headers for missing or incorrect Content-Security-Policy (CSP) directives, which could allow XSS attacks to succeed.
disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La solución principal es actualizar WeGIA a la versión 3.6.7, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de mitigación temporales. Estas medidas incluyen la validación y sanitización de todas las entradas de usuario, especialmente el parámetro sccd. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso. Es crucial revisar y fortalecer las políticas de seguridad de la aplicación para prevenir futuras vulnerabilidades XSS.
Actualice WeGIA a la versión 3.6.7 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS. Descargue la última versión desde el repositorio oficial o la página web del proveedor.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33136 is a critical Reflected Cross-Site Scripting (XSS) vulnerability in WeGIA versions 3.6.6 and below, allowing attackers to inject malicious scripts.
You are affected if you are using WeGIA version 3.6.6 or earlier. Upgrade to version 3.6.7 to mitigate the risk.
The recommended fix is to upgrade WeGIA to version 3.6.7. As a temporary workaround, implement input validation and output encoding on the vulnerable endpoint.
While no public exploits are currently known, the vulnerability's simplicity suggests it is likely to be exploited soon.
Refer to the WeGIA official website or security advisories for the latest information and updates regarding CVE-2026-33136.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.