WeGIA - Redirection ouverte - IsaidaControle - listarId() - $_GET['nextPage'] non validé

La vulnérabilité CVE-2026-35396 dans WeGIA, un gestionnaire web pour les institutions caritatives, présente un risque important en raison d'une vulnérabilité de redirection ouverte. Avant la version 3.6.9, le paramètre 'nextPage' dans l'endpoint /WeGIA/controle/control.php, combiné avec 'metodo=listarId' et 'nomeClasse=IsaidaControle', n'est pas correctement validé. Cela permet aux attaquants de rediriger les utilisateurs vers des sites web externes arbitraires. L'impact potentiel comprend des attaques de phishing ciblées contre les utilisateurs de WeGIA, le vol de données d'identification et la distribution potentielle de logiciels malveillants par le biais de redirections malveillantes. Les institutions caritatives utilisant WeGIA et n'ayant pas mis à niveau vers la version 3.6.9 sont particulièrement vulnérables. La gestion par l'application d'informations sensibles relatives aux donateurs et aux organisations amplifie le risque d'une attaque réussie.

1. Réservé2026-04-02
2. Publiée2026-04-06
3. Modifiée2026-04-07
4. EPSS mis à jour2026-04-14

La solution principale pour atténuer CVE-2026-35396 consiste à mettre à niveau WeGIA vers la version 3.6.9 ou ultérieure. Cette mise à jour corrige la vulnérabilité en mettant en œuvre une validation appropriée du paramètre 'nextPage'. De plus, il est recommandé de mettre en œuvre des mesures de sécurité supplémentaires, telles que la vérification de l'intégrité des URL avant la redirection, l'utilisation d'une politique de sécurité du contenu (CSP) pour restreindre les sources de contenu et la formation du personnel à l'identification des attaques de phishing. La surveillance des journaux du serveur à la recherche de schémas de redirection suspects peut également aider à détecter et à répondre aux tentatives d'exploitation potentielles. La mise à niveau doit être effectuée dès que possible pour minimiser le risque d'exposition.