CRITICALCVE-2026-33135CVSS 9.3

WeGIA に `novo_memorandoo.php` の `sccs` パラメータを介した Reflected Cross-Site Scripting (XSS) の脆弱性が存在します

Q: CVE-2026-33135 — XSS in WeGIA Web Managerとは何ですか？

CVE-2026-33135は、WeGIA Web Managerのバージョン3.6.6以前に存在するクロスサイトスクリプティング（XSS）脆弱性であり、攻撃者が悪意のあるスクリプトを注入できる可能性があります。

Q: CVE-2026-33135 in WeGIA Web Managerの影響を受けていますか？

WeGIA Web Managerのバージョンが3.6.6以前の場合は、この脆弱性の影響を受けています。バージョン3.6.7へのアップデートが必要です。

Q: CVE-2026-33135 in WeGIA Web Managerを修正するにはどうすればよいですか？

WeGIA Web Managerをバージョン3.6.7にアップデートすることが最も効果的な修正方法です。アップデートが困難な場合は、WAFの導入や入力値のサニタイズを検討してください。

Q: CVE-2026-33135は積極的に悪用されていますか？

現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用されやすい脆弱性です。

Q: CVE-2026-33135に関するWeGIAの公式アドバイザリはどこで入手できますか？

WeGIAの公式アドバイザリは、WeGIAのウェブサイトで確認できます。

プラットフォーム

php

コンポーネント

wegia

修正版

3.6.8

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33135は、WeGIA Web Managerにおいて検出されたクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性を悪用されると、攻撃者は悪意のあるスクリプトをWebサイトに注入し、ユーザーのブラウザ上で実行させることが可能となり、機密情報の窃取やセッションハイジャックなどの攻撃に繋がる可能性があります。影響を受けるバージョンは3.6.6以前であり、バージョン3.6.7で修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がWeGIA Web Managerのnovo_memorandoo.phpエンドポイントを通じて、sccs GETパラメータに悪意のあるJavaScriptコードを注入することを可能にします。このコードは、HTMLレスポンスにそのまま反映され、ユーザーのブラウザで実行されます。攻撃者は、この脆弱性を利用して、ユーザーのCookieを盗み出し、セッションを乗っ取ったり、悪意のあるWebサイトにリダイレクトさせたり、Webサイトのコンテンツを改ざんしたりすることが可能です。特に、機密情報を扱うWeGIA Web Managerにおいては、この脆弱性の影響は甚大であり、組織のセキュリティ全体を脅かす可能性があります。

悪用の状況

CVE-2026-33135は、2026年3月20日に公開されました。現時点では、この脆弱性を悪用した具体的な攻撃事例は報告されていませんが、XSS脆弱性は一般的に悪用されやすく、早期の対策が必要です。CISAのKEVリストへの登録状況は不明です。公開されているPoCは確認されていません。

リスク対象者翻訳中…

Charitable institutions and organizations using WeGIA version 3.6.6 or earlier are at significant risk. This includes organizations relying on WeGIA for managing donor information, financial records, and other sensitive data. Shared hosting environments where multiple organizations share the same WeGIA instance are particularly vulnerable, as a compromise of one organization could potentially impact others.

検出手順翻訳中…

• generic web: Use curl to test the novomemorandoo.php endpoint with a simple JavaScript payload in the sccs parameter (e.g., curl 'http://wegia-instance/?novomemorandoo.php&sccs=<script>alert(1)</script>'). • generic web: Examine access and error logs for requests containing suspicious JavaScript code in the sccs parameter. • php: Review the novo_memorandoo.php file for the vulnerable code (line 273) and ensure proper sanitization/encoding of user input.

攻撃タイムライン

2026-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.03% (9% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響total

影響を受けるソフトウェア

コンポーネントwegia

ベンダーLabRedesCefetRJ

影響範囲修正版

< 3.6.7 – < 3.6.73.6.8

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-17
公開日2026-03-20
EPSS 更新日2026-03-27

緩和策と回避策

この脆弱性への対応策として、まずWeGIA Web Managerをバージョン3.6.7にアップデートすることが最も効果的です。アップデートが困難な場合は、Webアプリケーションファイアウォール（WAF）を導入し、sccsパラメータに対する入力検証を強化することで、XSS攻撃を軽減できます。また、novo_memorandoo.phpのエンドポイントにおける入力値のサニタイズ処理を実装することも有効です。さらに、HTTPレスポンスヘッダーにContent-Security-Policy（CSP）を設定し、許可されていないスクリプトの実行を制限することも推奨されます。

修正方法

WeGIA をバージョン 3.6.7 以降にアップデートしてください。このバージョンには XSS 脆弱性に対する修正が含まれています。アップデートは、プロバイダーの Web サイトから新しいバージョンをダウンロードするか、アプリケーションに組み込まれているアップデートメカニズムを使用することで実行できます。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33135 — XSS in WeGIA Web Managerとは何ですか？