Plataforma
php
Componente
gestsup
Corrigido em
3.2.61
Uma vulnerabilidade de Cross-Site Request Forgery (CSRF) foi identificada em versões do GestSup até a 3.2.60. Essa falha permite que um atacante induza um usuário autenticado a executar ações indesejadas, como a criação de contas administrativas, sem o seu conhecimento. A vulnerabilidade foi publicada em 09 de janeiro de 2026 e a correção está disponível em versões posteriores.
A exploração bem-sucedida desta vulnerabilidade CSRF permite que um atacante execute ações em nome de um usuário autenticado, mesmo que este não esteja ciente da ação. No contexto do GestSup, o impacto mais grave é a capacidade de criar novas contas de usuário com privilégios administrativos. Isso pode resultar em acesso não autorizado ao sistema, comprometimento de dados sensíveis e controle total sobre a aplicação. Um atacante poderia, por exemplo, criar uma conta de administrador e obter acesso a todas as funcionalidades do sistema, incluindo a modificação de dados, a criação de novos usuários e a configuração de permissões.
A vulnerabilidade foi divulgada publicamente em 09 de janeiro de 2026. Não há informações disponíveis sobre a exploração ativa desta vulnerabilidade em campanhas direcionadas. A ausência de um CVSS score indica que a severidade está pendente de avaliação, mas a capacidade de criar contas administrativas sugere um risco significativo. Não foi adicionada ao KEV catalog.
Organizations utilizing GestSup for any purpose are at risk, particularly those with administrative interfaces accessible over the internet. Shared hosting environments where multiple users share the same GestSup instance are especially vulnerable, as an attacker could potentially compromise the entire hosting account.
• php / web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep 'Content-Security-Policy'• generic web:
curl -I 'http://your-gestsup-domain.com/admin/create_user.php' | grep -i 'csrf-token'disclosure
Status do Exploit
EPSS
0.01% (percentil 1%)
CISA SSVC
A mitigação imediata para esta vulnerabilidade envolve a implementação de medidas de proteção CSRF, como a validação de tokens em todas as requisições que modificam o estado da aplicação. Se a atualização imediata para uma versão corrigida não for possível, considere a implementação de políticas de segurança de conteúdo (CSP) para restringir as fontes de scripts que podem ser executados na aplicação. Além disso, a utilização de um Web Application Firewall (WAF) com regras específicas para detecção e bloqueio de ataques CSRF pode fornecer uma camada adicional de proteção. Verifique se a aplicação está configurada para usar HTTPS para proteger a integridade das requisições.
Atualize o GestSup para uma versão posterior a 3.2.60. Isso corrigirá a vulnerabilidade CSRF que permite a criação de contas privilegiadas. Consulte o changelog no site do fornecedor para obter mais detalhes sobre a atualização.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-22194 é uma vulnerabilidade de Cross-Site Request Forgery (CSRF) em versões do GestSup até a 3.2.60, que permite a criação de contas administrativas sem o conhecimento do usuário.
Se você estiver utilizando o GestSup em versões 0 a 3.2.60, você está potencialmente afetado. Verifique a versão instalada e atualize para a versão corrigida o mais rápido possível.
A correção é a atualização para uma versão do GestSup posterior à 3.2.60. Enquanto isso, implemente medidas de mitigação como validação de tokens CSRF e CSP.
Atualmente, não há informações disponíveis sobre a exploração ativa desta vulnerabilidade em campanhas direcionadas, mas o risco é significativo devido à possibilidade de criação de contas administrativas.
Consulte o site oficial do GestSup ou os canais de comunicação da empresa para obter o advisory de segurança referente ao CVE-2026-22194.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.