Plateforme
php
Composant
wegia
Corrigé dans
3.6.11
Une vulnérabilité de Cross-Site Scripting (XSS) stockée a été découverte dans WeGIA, un gestionnaire web pour institutions caritatives. Cette faille, présente dans les versions antérieures à 3.6.10, permet à un attaquant d'injecter un script malveillant via le champ 'Nom Sócio' lors de l'enregistrement d'un membre. Le script est ensuite stocké dans la base de données et exécuté chaque fois qu'un utilisateur accède à certaines URL. La version 3.6.10 corrige cette vulnérabilité.
L'exploitation réussie de cette vulnérabilité XSS stockée permet à un attaquant d'injecter du code JavaScript arbitraire dans les pages web consultées par les utilisateurs de WeGIA. Cela peut conduire au vol de cookies de session, à la redirection vers des sites malveillants, à la modification du contenu de la page web, ou à l'exécution d'actions au nom de l'utilisateur affecté. L'impact est amplifié par le fait que le script est stocké dans la base de données, ce qui signifie qu'il peut affecter un grand nombre d'utilisateurs sans nécessiter une réinjection constante. Un attaquant pourrait potentiellement compromettre l'ensemble de l'application et accéder à des données sensibles des membres de l'institution caritative.
Cette vulnérabilité a été publiquement divulguée le 2026-04-17. Il n'y a pas d'indications d'une exploitation active à ce jour, ni de mention sur la liste KEV de CISA. L'absence de PoC publics rend l'exploitation plus difficile, mais la nature de la vulnérabilité XSS signifie qu'elle pourrait être exploitée par des attaquants ayant des compétences techniques.
Statut de l'Exploit
EPSS
0.04% (percentile 12%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour WeGIA vers la version 3.6.10, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, une solution temporaire consiste à désactiver temporairement la fonctionnalité 'Cadastrar Sócio' ou à implémenter une validation stricte des entrées utilisateur dans ce champ, en utilisant des listes blanches de caractères autorisés et en échappant les caractères spéciaux. L'utilisation d'un Web Application Firewall (WAF) peut également aider à bloquer les tentatives d'injection XSS. Après la mise à jour, vérifiez que la vulnérabilité est bien corrigée en tentant d'injecter un payload XSS simple dans le champ 'Nom Sócio' et en vous assurant qu'il n'est pas exécuté.
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos de entrada en el campo 'Nombre Sócio', evitando el almacenamiento y ejecución de scripts maliciosos.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
It's a Stored Cross-Site Scripting (XSS) vulnerability in WeGIA, allowing attackers to inject malicious scripts via the 'Member Name' field.
If you are using WeGIA versions 3.6.0 through 3.6.9, you are vulnerable. Upgrade to 3.6.10 immediately.
Upgrade WeGIA to version 3.6.10. As a temporary workaround, implement input validation and WAF rules.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but it remains a significant risk.
Refer to the official WeGIA security advisory and the NVD entry for CVE-2026-40286 for detailed information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.