Plateforme
php
Composant
wegia
Corrigé dans
3.6.8
Une vulnérabilité de Cross-Site Scripting (XSS) a été découverte dans WeGIA, un gestionnaire web pour institutions caritatives. Cette faille, présente dans les versions 3.6.6 et antérieures, permet à un attaquant d'injecter du code JavaScript arbitraire. L'impact potentiel est élevé, incluant le vol de données sensibles et la prise de contrôle de sessions utilisateur. La version corrigée est 3.6.7.
L'exploitation réussie de cette vulnérabilité XSS permet à un attaquant d'injecter du code JavaScript malveillant dans les pages web consultées par les utilisateurs de WeGIA. Ce code peut être utilisé pour voler des cookies de session, rediriger les utilisateurs vers des sites malveillants, ou modifier le contenu de la page web affichée. L'attaquant pourrait ainsi compromettre les comptes des utilisateurs, accéder à des informations confidentielles stockées dans WeGIA, ou même exécuter du code sur le serveur si les permissions le permettent. Cette vulnérabilité est particulièrement préoccupante car elle est de type 'reflected', ce qui signifie que l'injection est directement reflétée dans la réponse du serveur, facilitant son exploitation.
Cette vulnérabilité a été publiée le 2026-03-20. Il n'y a pas d'indication d'exploitation active à ce jour, ni de mention sur la liste KEV de CISA. Aucun Proof of Concept (PoC) public n'a été identifié, mais la nature de la vulnérabilité XSS la rend potentiellement exploitable par des attaquants disposant de compétences techniques.
Charitable institutions using WeGIA versions 3.6.6 and earlier are at significant risk. Organizations relying on WeGIA for managing donor information or beneficiary data are particularly vulnerable, as a successful XSS attack could lead to data breaches and reputational damage. Shared hosting environments where multiple websites share the same server resources may also be affected if one website is compromised.
• php: Examine access logs for requests to /html/memorando/listarmemorandosativos.php containing unusual or obfuscated characters in the sccd GET parameter.
grep 'sccd=[a-zA-Z0-9><"\;]+' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple XSS payload and observe the response.
curl 'http://wegia-server/html/memorando/listar_memorandos_ativos.php?sccd=<script>alert("XSS")</script>' • generic web: Check response headers for missing or incorrect Content-Security-Policy (CSP) directives, which could allow XSS attacks to succeed.
disclosure
Statut de l'Exploit
EPSS
0.03% (percentile 10%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour WeGIA vers la version 3.6.7, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à implémenter une validation stricte des entrées utilisateur, en particulier du paramètre 'sccd' dans l'URL listarmemorandosativos.php. Il est également recommandé de configurer un Web Application Firewall (WAF) pour bloquer les requêtes contenant des scripts potentiellement malveillants. Surveillez les logs du serveur pour détecter des tentatives d'injection XSS suspectes.
Mettez à jour WeGIA à la version 3.6.7 ou supérieure. Cette version contient la correction pour la vulnérabilité XSS. Téléchargez la dernière version depuis le référentiel officiel ou la page web du fournisseur.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-33136 is a critical Reflected Cross-Site Scripting (XSS) vulnerability in WeGIA versions 3.6.6 and below, allowing attackers to inject malicious scripts.
You are affected if you are using WeGIA version 3.6.6 or earlier. Upgrade to version 3.6.7 to mitigate the risk.
The recommended fix is to upgrade WeGIA to version 3.6.7. As a temporary workaround, implement input validation and output encoding on the vulnerable endpoint.
While no public exploits are currently known, the vulnerability's simplicity suggests it is likely to be exploited soon.
Refer to the WeGIA official website or security advisories for the latest information and updates regarding CVE-2026-33136.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.