Platform
php
Component
wegia
Opgelost in
3.6.11
CVE-2026-40286 beschrijft een Stored Cross-Site Scripting (XSS) kwetsbaarheid in WeGIA, een webmanager voor goede doelen. Deze kwetsbaarheid stelt een aanvaller in staat om schadelijke scripts op te slaan in de database via het 'Lid Naam' veld in de 'Lid Registratie' functie. De kwetsbaarheid treft versies 3.6.0 tot en met 3.6.10. Een update naar versie 3.6.10 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van deze XSS kwetsbaarheid kan leiden tot het stelen van gebruikersgegevens, het uitvoeren van acties namens gebruikers, of het omleiden van gebruikers naar kwaadaardige websites. De aanvaller kan een schadelijke payload injecteren in het 'Lid Naam' veld, waardoor deze persistent wordt opgeslagen in de database. Wanneer een gebruiker een pagina bezoekt die deze data ophaalt, wordt de payload uitgevoerd in de context van die gebruiker. Dit kan leiden tot accountovername, defacement van de website, of het verspreiden van malware. De impact is aanzienlijk, aangezien de kwetsbaarheid persistent is en niet direct detecteerbaar voor gebruikers.
Deze kwetsbaarheid is openbaar bekend en de details zijn beschikbaar. Er is geen informatie over actieve campagnes die deze specifieke kwetsbaarheid exploiteren, maar XSS-kwetsbaarheden worden vaak misbruikt. De publicatie datum van de CVE is 2026-04-17. Er zijn momenteel geen publieke Proof-of-Concept exploits bekend, maar de eenvoud van XSS maakt het waarschijnlijk dat er in de toekomst exploits beschikbaar komen.
Exploit Status
EPSS
0.04% (12% percentiel)
CISA SSVC
CVSS-vector
De primaire mitigatie is het updaten van WeGIA naar versie 3.6.10, waarin de kwetsbaarheid is verholpen. Indien een directe upgrade niet mogelijk is, overweeg dan tijdelijke maatregelen zoals het valideren en saneren van alle gebruikersinvoer, met name in het 'Lid Naam' veld. Implementeer een Web Application Firewall (WAF) met regels om XSS-pogingen te detecteren en te blokkeren. Controleer de WeGIA configuratie op onnodige functionaliteit die de aanvalsoppervlakte vergroot. Na de upgrade, controleer de logs op verdachte activiteiten en valideer dat de kwetsbaarheid daadwerkelijk is verholpen door een test met een veilige payload.
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos de entrada en el campo 'Nombre Sócio', evitando el almacenamiento y ejecución de scripts maliciosos.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
It's a Stored Cross-Site Scripting (XSS) vulnerability in WeGIA, allowing attackers to inject malicious scripts via the 'Member Name' field.
If you are using WeGIA versions 3.6.0 through 3.6.9, you are vulnerable. Upgrade to 3.6.10 immediately.
Upgrade WeGIA to version 3.6.10. As a temporary workaround, implement input validation and WAF rules.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but it remains a significant risk.
Refer to the official WeGIA security advisory and the NVD entry for CVE-2026-40286 for detailed information.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.