WeGIA - Open Redirect - OrigemControle - listarTodos() & listarId_Nome() - Niet gevalideerde $_GET['nextPage']

WeGIA is een webmanager voor goede doelen. Voor 3.6.9 is er een Open Redirect kwetsbaarheid geïdentificeerd in het /WeGIA/controle/control.php endpoint van de WeGIA applicatie, specifiek via de nextPage parameter in combinatie met metodo=listarTodos & listarId_Nome en nomeClasse=OrigemControle. De applicatie valideert of beperkt de nextPage parameter niet, waardoor aanvallers gebruikers naar willekeurige externe websites kunnen omleiden. Dit kan misbruikt worden voor phishing aanvallen, diefstal van inloggegevens, malware distributie en social engineering met behulp van het vertrouwde WeGIA domein. Deze kwetsbaarheid is verholpen in 3.6.9.