प्लेटफ़ॉर्म
php
घटक
wegia
में ठीक किया गया
3.6.8
CVE-2026-33136 एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो WeGIA, एक वेब मैनेजर जो दान संस्थानों के लिए बनाया गया है, में पाई गई है। इस भेद्यता के कारण, एक हमलावर दुर्भावनापूर्ण जावास्क्रिप्ट या HTML टैग को इंजेक्ट कर सकता है, जिससे उपयोगकर्ता के ब्राउज़र में अनफ़िल्टर किया गया कोड निष्पादित हो सकता है। यह भेद्यता WeGIA के संस्करण 3.6.6 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को WeGIA संस्करण 3.6.7 में ठीक कर दिया गया है।
यह XSS भेद्यता हमलावर को उपयोगकर्ता के ब्राउज़र में मनमाना जावास्क्रिप्ट कोड निष्पादित करने की अनुमति देती है। इसका उपयोग उपयोगकर्ता सत्रों को हाईजैक करने, संवेदनशील जानकारी चुराने (जैसे लॉगिन क्रेडेंशियल, वित्तीय डेटा), या उपयोगकर्ता को दुर्भावनापूर्ण वेबसाइटों पर रीडायरेक्ट करने के लिए किया जा सकता है। हमलावर WeGIA एप्लिकेशन के भीतर उपयोगकर्ता के कार्यों को भी नियंत्रित कर सकता है, जिससे डेटा में हेरफेर या सिस्टम पर अनधिकृत क्रियाएं हो सकती हैं। चूंकि WeGIA दान संस्थानों द्वारा उपयोग किया जाता है, इसलिए इस भेद्यता का शोषण करने से संवेदनशील दानकर्ता जानकारी और वित्तीय रिकॉर्ड से समझौता हो सकता है।
CVE-2026-33136 को अभी तक CISA KEV में शामिल नहीं किया गया है। EPSS स्कोर अभी तक निर्धारित नहीं किया गया है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) की जानकारी उपलब्ध नहीं है, लेकिन XSS भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है। यह भेद्यता 2026-03-20 को प्रकाशित हुई थी।
Charitable institutions using WeGIA versions 3.6.6 and earlier are at significant risk. Organizations relying on WeGIA for managing donor information or beneficiary data are particularly vulnerable, as a successful XSS attack could lead to data breaches and reputational damage. Shared hosting environments where multiple websites share the same server resources may also be affected if one website is compromised.
• php: Examine access logs for requests to /html/memorando/listarmemorandosativos.php containing unusual or obfuscated characters in the sccd GET parameter.
grep 'sccd=[a-zA-Z0-9><"\;]+' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple XSS payload and observe the response.
curl 'http://wegia-server/html/memorando/listar_memorandos_ativos.php?sccd=<script>alert("XSS")</script>' • generic web: Check response headers for missing or incorrect Content-Security-Policy (CSP) directives, which could allow XSS attacks to succeed.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (10% शतमक)
CISA SSVC
CVSS वेक्टर
इस भेद्यता को कम करने के लिए, WeGIA को तुरंत संस्करण 3.6.7 में अपडेट करना महत्वपूर्ण है। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, वेब एप्लिकेशन फ़ायरवॉल (WAF) को लागू किया जा सकता है जो दुर्भावनापूर्ण स्क्रिप्ट इंजेक्शन को ब्लॉक करता है। WAF नियमों को sccd GET पैरामीटर में असामान्य या संदिग्ध वर्णों की तलाश करने के लिए कॉन्फ़िगर किया जाना चाहिए। इसके अतिरिक्त, इनपुट सत्यापन और आउटपुट एन्कोडिंग को लागू करके WeGIA एप्लिकेशन के कोड को मजबूत करना आवश्यक है। यह सुनिश्चित करता है कि उपयोगकर्ता इनपुट को ठीक से साफ किया जाए और HTML प्रतिक्रिया में प्रदर्शित होने से पहले एन्कोड किया जाए।
WeGIA को संस्करण 3.6.7 या उससे ऊपर के संस्करण में अपडेट करें। इस संस्करण में XSS भेद्यता के लिए सुधार शामिल है। आधिकारिक रिपॉजिटरी या विक्रेता की वेबसाइट से नवीनतम संस्करण डाउनलोड करें।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-33136 WeGIA दान संस्थान प्रबंधक में एक गंभीर क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता है जो हमलावरों को दुर्भावनापूर्ण स्क्रिप्ट इंजेक्ट करने की अनुमति देती है।
यदि आप WeGIA के संस्करण 3.6.6 या उससे पहले का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
WeGIA को संस्करण 3.6.7 में अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो WAF नियमों को लागू करें और इनपुट सत्यापन को मजबूत करें।
CVE-2026-33136 के सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन XSS भेद्यता की प्रकृति के कारण, इसका शोषण किया जा सकता है।
आधिकारिक WeGIA सलाहकार जानकारी के लिए WeGIA वेबसाइट या संबंधित सुरक्षा बुलेटिन देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।