プラットフォーム
php
コンポーネント
wegia
修正版
3.6.3
CVE-2026-23722 は、WeGIA Web Manager におけるクロスサイトスクリプティング (XSS) の脆弱性です。この脆弱性は、id_memorando GET パラメータの入力が適切に検証されていない場合に悪用され、攻撃者が悪意のあるスクリプトを注入することを可能にします。影響を受けるバージョンは WeGIA Web Manager 3.6.2 以前です。この脆弱性はバージョン 3.6.2 で修正されました。
この XSS 脆弱性は、攻撃者が WeGIA Web Manager を利用しているユーザーのブラウザ上で任意の JavaScript コードを実行することを可能にします。攻撃者は、セッションハイジャック、機密情報の窃取、または悪意のあるリダイレクトを実行する可能性があります。特に、管理者権限を持つユーザーが標的にされると、システム全体への影響が及ぶ可能性があります。この脆弱性は、類似の XSS 脆弱性と同様に、ユーザーの認証情報を盗み出し、不正な操作を実行するために悪用される可能性があります。
CVE-2026-23722 は、2026年1月16日に公開されました。現時点では、この脆弱性を悪用する公開されている PoC は確認されていませんが、XSS 脆弱性であるため、攻撃者による悪用が懸念されます。CISA KEV カタログへの登録状況は不明です。
Charitable institutions and organizations utilizing WeGIA version 3.6.2 or earlier are at significant risk. This includes organizations relying on WeGIA for donor management, financial tracking, and other critical operations. Shared hosting environments where multiple organizations share the same server infrastructure are particularly vulnerable, as a compromise of one WeGIA instance could potentially impact others.
• php: Examine the html/memorando/inseredespacho.php file for inadequate input sanitization of the idmemorando parameter.
• generic web: Monitor access logs for requests containing JavaScript code in the idmemorando parameter (e.g., ?idmemorando=<script>alert('XSS')</script>).
• generic web: Check response headers for signs of JavaScript injection.
• generic web: Use curl to test the endpoint with a simple XSS payload: curl 'http://wegia-instance.com/html/memorando/inseredespacho.php?idmemorando=<script>alert("XSS")</script>'
disclosure
エクスプロイト状況
EPSS
0.11% (29% パーセンタイル)
CISA SSVC
CVSS ベクトル
この脆弱性への対応策として、まず WeGIA Web Manager をバージョン 3.6.2 以降にアップデートすることを推奨します。アップデートが困難な場合は、Web アプリケーションファイアウォール (WAF) を導入し、id_memorando パラメータに対する XSS 攻撃をブロックするルールを設定してください。また、入力検証を強化し、HTML エンコードを適切に適用することで、脆弱性の悪用を軽減できます。アップデート後、WeGIA Web Manager のログを確認し、不正なアクセスやスクリプトの実行がないか確認してください。
WeGIA を 3.6.2 以降のバージョンにアップデートしてください。このバージョンには XSS 脆弱性の修正が含まれています。最新バージョンをベンダーの公式ウェブサイトまたは提供されたアップデートチャネルからダウンロードしてください。
脆弱性分析と重要アラートをメールでお届けします。
CVE-2026-23722 は、WeGIA Web Manager バージョン 3.6.2 以前に存在するクロスサイトスクリプティング (XSS) の脆弱性です。攻撃者は、id_memorando GET パラメータを悪用して悪意のあるスクリプトを注入できます。
WeGIA Web Manager のバージョンが 3.6.2 以前の場合は、この脆弱性に影響を受けます。バージョン 3.6.2 以降にアップデートしてください。
WeGIA Web Manager をバージョン 3.6.2 以降にアップデートしてください。アップデートが困難な場合は、WAF を導入して XSS 攻撃をブロックするルールを設定してください。
現時点では、この脆弱性を悪用する公開されている PoC は確認されていませんが、XSS 脆弱性であるため、攻撃者による悪用が懸念されます。
WeGIA の公式アドバイザリは、WeGIA のウェブサイトで確認できます。詳細は WeGIA のサポートにお問い合わせください。