Platform
php
Component
wegia
Opgelost in
3.6.11
CVE-2026-40284 describes a Stored Cross-Site Scripting (XSS) vulnerability discovered in WeGIA, a web manager for charitable institutions. This vulnerability allows an authenticated user to inject malicious JavaScript code, potentially leading to session hijacking, defacement, or redirection. The vulnerability affects versions 3.6.0 through 3.6.10, and a patch is available in version 3.6.10.
CVE-2026-40284 treft WeGIA, een webmanager voor goede doelen. Deze kwetsbaarheid is een Stored Cross-Site Scripting (XSS) bug die een geauthenticeerde gebruiker in staat stelt om kwaadaardige JavaScript-code in te voegen via het veld 'Destinatário' (Ontvanger). De payload wordt opgeslagen en vervolgens uitgevoerd bij het bekijken van de verzendpagina, wat mogelijk andere gebruikers kan beïnvloeden. De CVSS-score is 6.8, wat een gemiddeld risico aangeeft. De opgeslagen aard van de kwetsbaarheid betekent dat de aanval kan blijven bestaan en meerdere gebruikers kan beïnvloeden zonder dat herhaalde invoeging nodig is. Dit kan leiden tot diefstal van inloggegevens, manipulatie van gegevens of doorverwijzing naar kwaadaardige websites. De ernst van de impact hangt af van de privileges van de getroffen gebruiker en de gevoeligheid van de gegevens die door WeGIA worden verwerkt.
Een geauthenticeerde aanvaller met toegang tot het veld 'Destinatário' kan deze kwetsbaarheid misbruiken. De aanvaller voegt kwaadaardige JavaScript-code in dit veld in. Wanneer een andere gebruiker (of dezelfde aanvaller) de verzendpagina bekijkt, wordt de JavaScript-code uitgevoerd in de context van de browser van de gebruiker, waardoor de aanvaller kwaadaardige acties kan uitvoeren. De oorzaak van de kwetsbaarheid is het ontbreken van een juiste invoervalidatie van de gebruikersinvoer in het veld 'Destinatário'. De persistentie van de kwaadaardige code in de database betekent dat de kwetsbaarheid herhaaldelijk kan worden misbruikt zonder dat een nieuwe invoeging nodig is.
Charitable institutions and organizations utilizing WeGIA version 3.6.0 through 3.6.10 are at risk. Specifically, organizations with multiple authenticated users and those who rely on WeGIA for managing beneficiary information and donations are particularly vulnerable. Shared hosting environments where multiple WeGIA instances reside on the same server could also amplify the impact of a successful attack.
• php: Examine WeGIA application logs for suspicious JavaScript injection attempts in the 'Destinatário' field. Look for patterns like <script> tags or javascript: URLs.
grep -i 'javascript:|script' /var/log/apache2/access.log | grep 'wegia'• generic web: Use curl to test the dispatch page with a simple XSS payload in the 'Destinatário' field and observe the response for signs of script execution.
curl -X POST -d "Destinatario=<script>alert('XSS')</script>" http://wegia-instance/dispatch.php• generic web: Check the HTML source code of the dispatch page for any injected JavaScript code. Inspect the 'Destinatário' field for unexpected script tags.
disclosure
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor CVE-2026-40284 is het updaten van WeGIA naar versie 3.6.10 of hoger. Deze versie bevat een fix die de XSS-kwetsbaarheid verhelpt. Het wordt aanbevolen om deze update zo snel mogelijk toe te passen, vooral als WeGIA door meerdere gebruikers wordt gebruikt of gevoelige informatie verwerkt. Controleer bovendien de auditlogs op tekenen van eerdere aanvallen en neem corrigerende maatregelen. Het implementeren van robuuste beveiligingsbeleid, zoals invoervalidatie en -sanering, kan helpen om toekomstige XSS-kwetsbaarheden te voorkomen. Regelmatige penetratietests zijn ook een goede praktijk om potentiële beveiligingslekken te identificeren en te herstellen.
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos del campo 'Destinatário', evitando la inyección de código malicioso.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
XSS (Cross-Site Scripting) is een type beveiligingskwetsbaarheid waarmee aanvallers kwaadaardige scripts in webpagina's kunnen injecteren die door andere gebruikers worden bekeken.
Versie 3.6.10 corrigeert de XSS-kwetsbaarheid in WeGIA en voorkomt zo de uitvoering van kwaadaardige code.
Controleer de auditlogs, wijzig alle gebruikerswachtwoorden en overweeg een uitgebreide beveiligingsaudit uit te voeren.
Implementeer robuuste beveiligingsbeleid, zoals invoervalidatie en -sanering, en voer regelmatig penetratietests uit.
U kunt meer informatie vinden in kwetsbaarheidsdatabases zoals de NVD (National Vulnerability Database) of op de WeGIA-website.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.