プラットフォーム
php
コンポーネント
wegia
修正版
3.6.10
CVE-2026-35396 は、WeGIA アプリケーションのバージョン 3.6.0 から 3.6.9 以前に存在するオープンリダイレクトの脆弱性です。この脆弱性は、/WeGIA/controle/control.php エンドポイントにおける nextPage パラメータの検証不足によって発生します。攻撃者は、この脆弱性を悪用して、ユーザーを悪意のあるサイトにリダイレクトさせ、フィッシング攻撃を実行できる可能性があります。バージョン 3.6.9 で修正されています。
WeGIAのCVE-2026-35396は、慈善団体向けのWebマネージャーにおいて、オープンリダイレクトの脆弱性により重大なリスクをもたらします。3.6.9バージョン以前、/WeGIA/controle/control.phpエンドポイントの'nextPage'パラメータは、'metodo=listarId'および'nomeClasse=IsaidaControle'と組み合わせた場合、適切に検証されていませんでした。これにより、攻撃者はユーザーを任意の外部Webサイトにリダイレクトできるようになります。潜在的な影響には、WeGIAユーザーを対象とした標的型フィッシング攻撃、認証情報の窃取、悪意のあるリダイレクトを介したマルウェアの潜在的な配布が含まれます。WeGIAを使用しており、3.6.9バージョンにアップデートされていない慈善団体は特に脆弱です。アプリケーションが寄付者および組織の機密情報を処理しているという性質が、攻撃の成功リスクを高めます。
攻撃者は、'nextPage'パラメータの値に操作を加えた悪意のあるリンクを作成することで、この脆弱性を悪用する可能性があります。このリンクをクリックすると、正当なWeGIAユーザーは攻撃者が制御するWebサイトにリダイレクトされます。このWebサイトは、正当なWeGIAログインページの見た目を模倣し、ユーザーを認証情報の入力に誘導する可能性があります。あるいは、攻撃者はユーザーをマルウェアを配布するWebサイトにリダイレクトする可能性があります。この脆弱性は、リダイレクトがWeGIAアプリケーションのコンテキスト内で発生するため、特に懸念されます。これにより、悪意のあるリンクに対するユーザーの信頼が高まる可能性があります。
エクスプロイト状況
EPSS
0.03% (8% パーセンタイル)
CISA SSVC
CVE-2026-35396を軽減するための主な解決策は、WeGIAを3.6.9バージョン以降にアップデートすることです。このアップデートは、'nextPage'パラメータの適切な検証を実装することにより、脆弱性を修正します。さらに、Content Security Policy(CSP)を使用してコンテンツソースを制限したり、スタッフにフィッシング攻撃の識別に関するトレーニングを実施したりするなど、追加のセキュリティ対策を実装することをお勧めします。サーバーログを不審なリダイレクトパターンについて監視することも、潜在的な悪用試行を検出し、対応するのに役立ちます。リスクを最小限に抑えるために、できるだけ早くアップデートを実行する必要があります。
Actualice el módulo WeGIA a la versión 3.6.9 o superior para mitigar la vulnerabilidad de redirección abierta. La versión corregida valida adecuadamente el parámetro 'nextPage', evitando que los atacantes redirijan a los usuarios a sitios web externos maliciosos. Asegúrese de realizar una copia de seguridad de su configuración antes de actualizar.
脆弱性分析と重要アラートをメールでお届けします。
WeGIAは、慈善団体がその業務を管理するのを支援するために設計されたWebマネージャーです。
3.6.9バージョンは、フィッシング攻撃やデータ窃盗を可能にする可能性のあるオープンリダイレクトの脆弱性(CVE-2026-35396)を修正します。
CSPなどの追加のセキュリティ対策を実装し、サーバーログを監視してください。
特に個人情報や認証情報を要求する予期しないリンクには注意してください。
WeGIAの公式ドキュメントとサイバーセキュリティの情報源を参照してください。