WeGIA में listar_despachos.php में संग्रहीत XSS है

CVE-2026-40284 WeGIA को प्रभावित करता है, जो धर्मार्थ संस्थानों के लिए एक वेब मैनेजर है। यह भेद्यता एक संग्रहीत क्रॉस-साइट स्क्रिप्टिंग (XSS) त्रुटि है जो एक प्रमाणित उपयोगकर्ता को 'Destinatário' (प्राप्तकर्ता) फ़ील्ड के माध्यम से दुर्भावनापूर्ण जावास्क्रिप्ट कोड इंजेक्ट करने की अनुमति देती है। पेलोड संग्रहीत किया जाता है और बाद में शिपिंग पृष्ठ को देखने पर निष्पादित किया जाता है, जिससे अन्य उपयोगकर्ताओं को संभावित रूप से प्रभावित किया जा सकता है। CVSS स्कोर 6.8 है, जो मध्यम जोखिम दर्शाता है। इस भेद्यता की संग्रहीत प्रकृति का मतलब है कि बार-बार इंजेक्शन की आवश्यकता के बिना हमले कई उपयोगकर्ताओं को प्रभावित कर सकते हैं। इससे क्रेडेंशियल चोरी, डेटा हेरफेर या दुर्भावनापूर्ण साइटों पर रीडायरेक्शन हो सकता है। प्रभाव की गंभीरता प्रभावित उपयोगकर्ता के विशेषाधिकारों और WeGIA द्वारा प्रबंधित डेटा की संवेदनशीलता पर निर्भर करती है।

Charitable institutions and organizations utilizing WeGIA version 3.6.0 through 3.6.10 are at risk. Specifically, organizations with multiple authenticated users and those who rely on WeGIA for managing beneficiary information and donations are particularly vulnerable. Shared hosting environments where multiple WeGIA instances reside on the same server could also amplify the impact of a successful attack.

• php: Examine WeGIA application logs for suspicious JavaScript injection attempts in the 'Destinatário' field. Look for patterns like <script> tags or javascript: URLs.

grep -i 'javascript:|script' /var/log/apache2/access.log | grep 'wegia'

• generic web: Use curl to test the dispatch page with a simple XSS payload in the 'Destinatário' field and observe the response for signs of script execution.

curl -X POST -d "Destinatario=<script>alert('XSS')</script>" http://wegia-instance/dispatch.php

• generic web: Check the HTML source code of the dispatch page for any injected JavaScript code. Inspect the 'Destinatário' field for unexpected script tags.

1. 2026-04-17Disclosure

   disclosure

1. आरक्षित2026-04-10
2. प्रकाशित2026-04-17
3. संशोधित2026-04-20
4. EPSS अद्यतन2026-04-25

CVE-2026-40284 के लिए समाधान WeGIA को संस्करण 3.6.10 या बाद के संस्करण में अपडेट करना है। इस संस्करण में XSS भेद्यता को कम करने वाला एक फिक्स शामिल है। यदि WeGIA का उपयोग कई उपयोगकर्ताओं द्वारा किया जा रहा है या संवेदनशील जानकारी को संभाल रहा है तो इस अपडेट को जल्द से जल्द लागू करने की सिफारिश की जाती है। इसके अतिरिक्त, किसी भी पिछले हमले के संकेतों के लिए ऑडिट लॉग की समीक्षा करें और सुधारात्मक कार्रवाई करें। मजबूत सुरक्षा नीतियों को लागू करना, जैसे कि इनपुट सत्यापन और सैनिटाइजेशन, भविष्य की XSS भेद्यताओं को रोकने में मदद कर सकता है। संभावित सुरक्षा दोषों की पहचान करने और उन्हें ठीक करने के लिए नियमित प्रवेश परीक्षण भी एक अच्छी प्रथा है।