WeGIA - ओपन रीडायरेक्ट - IsaidaControle - listarId() - अनवैलिडेटेड $_GET['nextPage']

WeGIA एक धर्मार्थ संस्थानों के लिए वेब मैनेजर है। 3.6.9 से पहले, WeGIA एप्लिकेशन के /WeGIA/controle/control.php एंडपॉइंट में एक ओपन रीडायरेक्ट भेद्यता की पहचान की गई थी, विशेष रूप से nextPage पैरामीटर के माध्यम से जब metodo=listarId और nomeClasse=IsaidaControle के साथ जोड़ा गया हो। एप्लिकेशन nextPage पैरामीटर को मान्य या प्रतिबंधित करने में विफल रहता है, जिससे हमलावरों को उपयोगकर्ताओं को मनमाने बाहरी वेबसाइटों पर रीडायरेक्ट करने की अनुमति मिलती है। इसका उपयोग फ़िशिंग हमलों, क्रेडेंशियल चोरी, मैलवेयर वितरण और विश्वसनीय WeGIA डोमेन का उपयोग करके सोशल इंजीनियरिंग के लिए किया जा सकता है। यह भेद्यता 3.6.9 में ठीक की गई है।