CRITICALCVE-2026-33136CVSS 9.3

WeGIA に `listar_memorandos_ativos.php` の `sccd` パラメータを介したリフレクテッドクロスサイトスクリプティング (XSS) の脆弱性が存在します

Q: CVE-2026-33136 — XSS in WeGIA Charitable Institution Managerとは何ですか？

CVE-2026-33136は、WeGIA 3.6.6以前のバージョンにおけるリフレクト型クロスサイトスクリプティング（XSS）脆弱性です。攻撃者は、sccd GETパラメータに悪意のあるJavaScriptを注入し、Webサイトを改ざんできます。

Q: CVE-2026-33136 in WeGIA Charitable Institution Managerの影響を受けていますか？

WeGIAのバージョンが3.6.6以前の場合、この脆弱性の影響を受けています。バージョン3.6.7以降にアップデートしてください。

Q: CVE-2026-33136 in WeGIA Charitable Institution Managerを修正するにはどうすればよいですか？

WeGIAをバージョン3.6.7以降にアップデートしてください。アップデートが利用できない場合は、WAFを使用して攻撃をブロックすることを検討してください。

Q: CVE-2026-33136は積極的に悪用されていますか？

現時点では、この脆弱性を悪用する公開されているPoCは確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。

Q: CVE-2026-33136に関するWeGIAの公式アドバイザリはどこで入手できますか？

WeGIAの公式アドバイザリは、WeGIAのWebサイトまたは関連するセキュリティコミュニティのフォーラムで確認してください。

プラットフォーム

php

コンポーネント

wegia

修正版

3.6.8

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-33136は、WeGIAという慈善団体向けのWeb管理システムにおけるクロスサイトスクリプティング（XSS）脆弱性です。この脆弱性は、攻撃者が悪意のあるJavaScriptコードをWebサイトに注入し、他のユーザーのブラウザ上で実行することを可能にします。影響を受けるバージョンは3.6.6以前であり、3.6.7以降で修正されています。

影響と攻撃シナリオ

このXSS脆弱性は、攻撃者がWeGIAのlistarmemorandosativos.phpエンドポイントのsccd GETパラメータに悪意のあるJavaScriptコードを注入することで悪用されます。注入されたスクリプトは、ユーザーのブラウザで実行され、セッションハイジャック、フィッシング攻撃、またはWebサイトの改ざんにつながる可能性があります。攻撃者は、機密情報（ログイン認証情報など）を盗み出したり、ユーザーを悪意のあるWebサイトにリダイレクトしたり、Webサイトの見た目を変更してユーザーを欺くことができます。この脆弱性の悪用は、慈善団体の評判を損ない、ユーザーの信頼を失う可能性があります。

悪用の状況

CVE-2026-33136は、2026年3月20日に公開されました。現時点では、この脆弱性を悪用する公開されているPoC（Proof of Concept）は確認されていませんが、XSS脆弱性は一般的に悪用されやすいと考えられます。CISA KEVカタログへの登録状況は不明です。

リスク対象者翻訳中…

Charitable institutions using WeGIA versions 3.6.6 and earlier are at significant risk. Organizations relying on WeGIA for managing donor information or beneficiary data are particularly vulnerable, as a successful XSS attack could lead to data breaches and reputational damage. Shared hosting environments where multiple websites share the same server resources may also be affected if one website is compromised.

検出手順翻訳中…

• php: Examine access logs for requests to /html/memorando/listarmemorandosativos.php containing unusual or obfuscated characters in the sccd GET parameter.

grep 'sccd=[a-zA-Z0-9><"\;]+' /var/log/apache2/access.log

• generic web: Use curl to test the endpoint with a simple XSS payload and observe the response.

curl 'http://wegia-server/html/memorando/listar_memorandos_ativos.php?sccd=<script>alert("XSS")</script>'

• generic web: Check response headers for missing or incorrect Content-Security-Policy (CSP) directives, which could allow XSS attacks to succeed.

攻撃タイムライン

2026-03-20Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート3 件の脅威レポート

EPSS

0.03% (10% パーセンタイル)

CISA SSVC

悪用状況poc

自動化可能no

技術的影響

影響を受けるソフトウェア

コンポーネントwegia

ベンダーLabRedesCefetRJ

影響範囲修正版

< 3.6.7 – < 3.6.73.6.8

弱点分類 (CWE)

CWE-79

タイムライン

予約済み2026-03-17
公開日2026-03-20
EPSS 更新日2026-03-27

緩和策と回避策

この脆弱性への最善の対応は、WeGIAをバージョン3.6.7以降にアップデートすることです。アップデートがすぐに利用できない場合、WAF（Web Application Firewall）を使用して、悪意のあるJavaScriptコードの注入を試みるリクエストをブロックすることを検討してください。また、入力検証と出力エンコーディングを強化することで、XSS攻撃のリスクを軽減できます。Webサーバーのアクセスログを監視し、異常なリクエストパターンを検出することも有効です。

修正方法

WeGIA をバージョン 3.6.7 以降にアップデートしてください。このバージョンには XSS 脆弱性の修正が含まれています。最新バージョンを公式リポジトリまたはベンダーの Web サイトからダウンロードしてください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-33136 — XSS in WeGIA Charitable Institution Managerとは何ですか？