Platform
php
Component
wegia
Opgelost in
3.6.7
CVE-2026-31896 beschrijft een kritieke SQL-injectie kwetsbaarheid in WeGIA, een webmanager voor goede doelen. Deze kwetsbaarheid, aanwezig in versies van WeGIA tot en met 3.6.6, stelt een aanvaller in staat om SQL-commando's uit te voeren via het script removerprodutoocultar.php. De kwetsbaarheid is verholpen in versie 3.6.6 en wordt aangeraden om zo snel mogelijk te upgraden.
Een succesvolle exploitatie van deze SQL-injectie kwetsbaarheid kan verstrekkende gevolgen hebben. Een aanvaller kan gevoelige data uit de database stelen, zoals donatiegegevens, persoonlijke informatie van begunstigden of interne administratieve gegevens. Bovendien kan de aanvaller de database manipuleren, waardoor de integriteit van de data in gevaar komt. De demonstratie van een time-based delay (denial-of-service) laat zien dat de kwetsbaarheid ook kan worden gebruikt om de beschikbaarheid van de WeGIA applicatie te verstoren. De kwetsbaarheid is vergelijkbaar met andere SQL-injectie kwetsbaarheden waarbij onvoldoende validatie van gebruikersinvoer leidt tot de mogelijkheid om SQL-query’s te beïnvloeden.
Deze kwetsbaarheid is gepubliceerd op 2026-03-11. Er is een publiek proof-of-concept beschikbaar, wat de exploitatie ervan vergemakkelijkt. De hoge CVSS score (9.8) en de beschikbaarheid van een PoC suggereren een medium tot hoge waarschijnlijkheid van exploitatie. Er zijn momenteel geen meldingen van actieve campagnes die deze specifieke kwetsbaarheid uitbuiten, maar het is aannemelijk dat dit in de toekomst kan gebeuren.
Charitable institutions and organizations utilizing WeGIA to manage their operations are at significant risk. Specifically, those running older, unpatched versions of WeGIA (≤ 3.6.6) are particularly vulnerable. Shared hosting environments where multiple organizations share the same server infrastructure are also at increased risk, as a compromise of one WeGIA instance could potentially impact others.
• php: Examine web server access logs for requests to removerprodutoocultar.php containing suspicious SQL syntax in the request parameters.
grep -iE 'SELECT|INSERT|UPDATE|DELETE|UNION|DROP' /var/log/apache2/access.log | grep remover_produto_ocultar.php• php: Review the removerprodutoocultar.php script for the use of extract($_REQUEST) and direct concatenation of user-supplied variables into SQL queries.
• generic web: Monitor database server logs for unusual SQL queries originating from the WeGIA application server.
• database (mysql): Check for unauthorized database users or privilege escalations.
SELECT User, Host FROM mysql.user WHERE Host != 'localhost';disclosure
poc
Exploit Status
EPSS
0.03% (10% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie voor CVE-2026-31896 is het upgraden van WeGIA naar versie 3.6.6 of hoger. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het beperken van de toegang tot het removerprodutoocultar.php script. Implementeer een Web Application Firewall (WAF) met regels die SQL-injectie pogingen detecteren en blokkeren. Controleer de configuratie van de PDO databaseverbinding om ervoor te zorgen dat deze zo veilig mogelijk is ingesteld. Na de upgrade, verifieer de fix door een poging te doen tot SQL-injectie via het removerprodutoocultar.php script en controleer of de poging wordt geblokkeerd.
Actualiseer WeGIA naar versie 3.6.6 of hoger. Deze versie bevat de correctie voor de SQL injection kwetsbaarheid. Het wordt aanbevolen om een back-up te maken voordat u updateert.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
CVE-2026-31896 is a critical SQL injection vulnerability affecting WeGIA versions up to 3.6.6. It allows attackers to execute arbitrary SQL commands, potentially leading to data breaches or denial of service.
You are affected if you are using WeGIA version 3.6.6 or earlier. Immediately assess your environment and upgrade to the patched version.
Upgrade WeGIA to version 3.6.6 or later. If immediate upgrade is not possible, implement temporary workarounds like restricting access and using a WAF.
While no confirmed active exploitation is publicly known, the vulnerability's critical severity and available proof-of-concept increase the likelihood of exploitation. Continuous monitoring is recommended.
Refer to the WeGIA official website or security advisory channels for the latest information and updates regarding CVE-2026-31896.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.