Platform
php
Component
wegia
Opgelost in
3.6.10
WeGIA is een webmanager voor goede doelen. Tot versie 3.6.9 was er een stored XSS kwetsbaarheid aanwezig, waardoor een aanvaller kwaadaardige scripts kon injecteren via een back-up bestandsnaam. Dit kan leiden tot ongeautoriseerde uitvoering van code in de browser van het slachtoffer, mogelijk met compromittering van sessiegegevens of acties namens de gebruiker. De kwetsbaarheid treft versies 3.6.0 t/m 3.6.8 en is verholpen in versie 3.6.9.
CVE-2026-35399 treft WeGIA, een webmanager voor goede doelen. Deze kwetsbaarheid, een opgeslagen XSS, stelt een aanvaller in staat om kwaadaardige scripts in te voegen via de bestandsnaam van een back-up. Dit kan leiden tot de ongeautoriseerde uitvoering van kwaadaardige code in de browser van het slachtoffer, mogelijk sessiegegevens compromitteren of acties namens de gebruiker uitvoeren. De ernst van deze kwetsbaarheid vereist onmiddellijke aandacht, vooral als uw organisatie WeGIA gebruikt om gevoelige gegevens van donateurs of begunstigden te beheren. Een succesvolle exploitatie kan een aanvaller in staat stellen de controle over een gebruikersaccount met verhoogde privileges over te nemen, wat mogelijk verwoestende gevolgen kan hebben voor de integriteit van de organisatie en het vertrouwen van donateurs. Het risico strekt zich uit tot datalekken, identiteitsdiefstal en manipulatie van kritieke informatie.
De kwetsbaarheid wordt geëxploiteerd door kwaadaardige code in de bestandsnaam van een back-up in te voegen. Wanneer een gebruiker deze gecompromitteerde back-up downloadt of benadert, wordt het kwaadaardige script in hun browser uitgevoerd. Een aanvaller kan de gecompromitteerde back-up distribueren via phishing-e-mails of door de WeGIA-interface te manipuleren. Exploitatie is waarschijnlijker als gebruikers verhoogde privileges binnen WeGIA hebben, waardoor de aanvaller meer schadelijke acties kan uitvoeren. De hoofdoorzaak is het onvoldoende valideren van gebruikersinvoer binnen het back-upbeheersysteem.
Exploit Status
EPSS
0.04% (11% percentiel)
CISA SSVC
De oplossing voor CVE-2026-35399 is om WeGIA te updaten naar versie 3.6.9 of hoger. Deze update corrigeert de opgeslagen XSS-kwetsbaarheid door bestandsnamen van back-ups correct te valideren en te sanitiseren. Als tijdelijke mitigatie is het raadzaam om de toegang tot de back-upfunctionaliteit te beperken tot geautoriseerde gebruikers en het systeem te monitoren op verdachte activiteiten. Het implementeren van robuuste wachtwoordbeleid en het inschakelen van tweefactorauthenticatie kan het risico op ongeautoriseerde toegang verder verminderen. Het is ook cruciaal om gebruikers te informeren over XSS-risico's en phishing-pogingen. Regelmatige beveiligingsaudits en penetratietests kunnen helpen bij het identificeren en aanpakken van andere potentiële kwetsbaarheden.
Actualice el módulo WeGIA a la versión 3.6.9 o superior para mitigar la vulnerabilidad de XSS almacenada. Esta actualización corrige la forma en que se manejan los nombres de los archivos de respaldo, evitando la inyección de scripts maliciosos. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Opgeslagen XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarbij een aanvaller kwaadaardige code in een website injecteert, die vervolgens wordt uitgevoerd in de browsers van andere gebruikers die de pagina bezoeken.
Als u een versie van WeGIA gebruikt die vóór 3.6.9 is uitgebracht, is deze kwetsbaar. Controleer uw huidige versie en update zo snel mogelijk.
Wijzig onmiddellijk uw wachtwoorden, controleer uw gegevens op verdachte activiteiten en informeer uw beveiligingsprovider.
Web-kwetsbaarheidsscanners kunnen opgeslagen XSS detecteren. Raadpleeg uw beveiligingsprovider voor aanbevelingen.
Implementeer robuuste wachtwoordbeleid, schakel tweefactorauthenticatie in en informeer uw gebruikers over de risico's van websafety.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.