Plateforme
php
Composant
wegia
Corrigé dans
3.6.11
CVE-2026-40284 describes a Stored Cross-Site Scripting (XSS) vulnerability discovered in WeGIA, a web manager for charitable institutions. This vulnerability allows an authenticated user to inject malicious JavaScript code, potentially leading to session hijacking, defacement, or redirection. The vulnerability affects versions 3.6.0 through 3.6.10, and a patch is available in version 3.6.10.
CVE-2026-40284 affecte WeGIA, un gestionnaire web pour les institutions caritatives. Cette vulnérabilité est une faille de Cross-Site Scripting (XSS) stockée qui permet à un utilisateur authentifié d'injecter du code JavaScript malveillant via le champ 'Destinatário' (Destinataire). La charge utile est stockée et exécutée ultérieurement lors de la consultation de la page d'expédition, impactant potentiellement d'autres utilisateurs. Le score CVSS est de 6,8, ce qui indique un risque moyen. La nature stockée de la vulnérabilité signifie que l'attaque peut persister et affecter plusieurs utilisateurs sans nécessiter d'injection répétée. Cela pourrait entraîner le vol de données d'identification, la manipulation de données ou le renvoi vers des sites malveillants. La gravité de l'impact dépend des privilèges de l'utilisateur concerné et de la sensibilité des données gérées par WeGIA.
Un attaquant authentifié ayant accès au champ 'Destinatário' peut exploiter cette vulnérabilité. L'attaquant injecte du code JavaScript malveillant dans ce champ. Lorsque l'autre utilisateur (ou le même attaquant) consulte la page d'expédition, le code JavaScript s'exécute dans le contexte du navigateur de l'utilisateur, permettant à l'attaquant d'effectuer des actions malveillantes. La cause première de la vulnérabilité est le manque de validation appropriée des entrées utilisateur dans le champ 'Destinatário'. La persistance du code malveillant dans la base de données signifie que la vulnérabilité peut être exploitée de manière répétée sans nécessiter de nouvelle injection.
Charitable institutions and organizations utilizing WeGIA version 3.6.0 through 3.6.10 are at risk. Specifically, organizations with multiple authenticated users and those who rely on WeGIA for managing beneficiary information and donations are particularly vulnerable. Shared hosting environments where multiple WeGIA instances reside on the same server could also amplify the impact of a successful attack.
• php: Examine WeGIA application logs for suspicious JavaScript injection attempts in the 'Destinatário' field. Look for patterns like <script> tags or javascript: URLs.
grep -i 'javascript:|script' /var/log/apache2/access.log | grep 'wegia'• generic web: Use curl to test the dispatch page with a simple XSS payload in the 'Destinatário' field and observe the response for signs of script execution.
curl -X POST -d "Destinatario=<script>alert('XSS')</script>" http://wegia-instance/dispatch.php• generic web: Check the HTML source code of the dispatch page for any injected JavaScript code. Inspect the 'Destinatário' field for unexpected script tags.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La solution pour CVE-2026-40284 consiste à mettre à jour WeGIA vers la version 3.6.10 ou ultérieure. Cette version inclut une correction qui atténue la vulnérabilité XSS. Il est recommandé d'appliquer cette mise à jour dès que possible, surtout si WeGIA est utilisé par plusieurs utilisateurs ou gère des informations sensibles. De plus, examinez les journaux d'audit pour détecter tout signe d'attaques précédentes et prenez des mesures correctives. La mise en œuvre de politiques de sécurité robustes, telles que la validation et la désinfection des entrées utilisateur, peut aider à prévenir les futures vulnérabilités XSS. Des tests d'intrusion réguliers sont également une bonne pratique pour identifier et corriger les éventuelles failles de sécurité.
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos del campo 'Destinatário', evitando la inyección de código malicioso.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
XSS (Cross-Site Scripting) est un type de vulnérabilité de sécurité qui permet aux attaquants d'injecter des scripts malveillants dans des pages web consultées par d'autres utilisateurs.
La version 3.6.10 corrige la vulnérabilité XSS dans WeGIA, empêchant l'exécution de code malveillant.
Examinez les journaux d'audit, modifiez tous les mots de passe des utilisateurs et envisagez de réaliser un audit de sécurité complet.
Mettez en œuvre des politiques de sécurité robustes, telles que la validation et la désinfection des entrées utilisateur, et effectuez des tests d'intrusion réguliers.
Vous pouvez trouver plus d'informations sur les bases de données de vulnérabilités telles que le NVD (National Vulnerability Database) ou sur le site web de WeGIA.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.