Plataforma
php
Componente
wegia
Corrigido em
3.6.11
O WeGIA é um gerenciador web para instituições de caridade. Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenado foi descoberta em versões anteriores à 3.6.10, permitindo que usuários autenticados injetem código JavaScript malicioso através do campo "Destinatário". Essa injeção é armazenada e executada posteriormente ao visualizar a página de envio, potencialmente afetando outros usuários do sistema. A vulnerabilidade afeta as versões 3.6.0 até 3.6.9, sendo corrigida na versão 3.6.10.
CVE-2026-40284 afeta o WeGIA, um gerenciador web para instituições de caridade. A vulnerabilidade de Cross-Site Scripting (XSS) armazenado permite que um usuário autenticado injete código JavaScript malicioso através do campo 'Destinatário'. Este código é armazenado e executado posteriormente ao visualizar a página de envio, impactando potencialmente outros usuários. O score CVSS é 6.8, indicando um risco médio. A natureza armazenada da vulnerabilidade significa que o ataque pode persistir e afetar múltiplos usuários sem a necessidade de uma nova injeção. Isso pode resultar no roubo de credenciais, manipulação de dados ou redirecionamento para sites maliciosos. A gravidade do impacto depende dos privilégios do usuário afetado e da sensibilidade das informações gerenciadas pelo WeGIA.
Um atacante autenticado com acesso ao campo 'Destinatário' pode explorar esta vulnerabilidade. O atacante injeta código JavaScript malicioso neste campo. Quando outro usuário (ou o mesmo atacante) visualiza a página de envio, o código JavaScript é executado no contexto do navegador do usuário, permitindo que o atacante realize ações maliciosas. A falta de validação adequada da entrada do usuário no campo 'Destinatário' é a causa raiz da vulnerabilidade. A persistência do código malicioso no banco de dados significa que a vulnerabilidade pode ser explorada repetidamente sem a necessidade de uma nova injeção.
Charitable institutions and organizations utilizing WeGIA version 3.6.0 through 3.6.10 are at risk. Specifically, organizations with multiple authenticated users and those who rely on WeGIA for managing beneficiary information and donations are particularly vulnerable. Shared hosting environments where multiple WeGIA instances reside on the same server could also amplify the impact of a successful attack.
• php: Examine WeGIA application logs for suspicious JavaScript injection attempts in the 'Destinatário' field. Look for patterns like <script> tags or javascript: URLs.
grep -i 'javascript:|script' /var/log/apache2/access.log | grep 'wegia'• generic web: Use curl to test the dispatch page with a simple XSS payload in the 'Destinatário' field and observe the response for signs of script execution.
curl -X POST -d "Destinatario=<script>alert('XSS')</script>" http://wegia-instance/dispatch.php• generic web: Check the HTML source code of the dispatch page for any injected JavaScript code. Inspect the 'Destinatário' field for unexpected script tags.
disclosure
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A solução para CVE-2026-40284 é atualizar o WeGIA para a versão 3.6.10 ou posterior. Esta versão inclui uma correção que mitiga a vulnerabilidade XSS. Recomenda-se aplicar esta atualização o mais rápido possível, especialmente se a aplicação WeGIA for utilizada por múltiplos usuários ou gerenciar informações sensíveis. Além disso, recomenda-se revisar os logs de auditoria para detectar possíveis ataques anteriores e tomar medidas corretivas. Implementar políticas de segurança robustas, como a validação e o saneamento de entradas de usuário, pode ajudar a prevenir futuras vulnerabilidades XSS. Realizar testes de penetração periódicos também é uma boa prática para identificar e corrigir possíveis falhas de segurança.
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos del campo 'Destinatário', evitando la inyección de código malicioso.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
XSS (Cross-Site Scripting) é um tipo de vulnerabilidade de segurança que permite que atacantes injetem scripts maliciosos em páginas web vistas por outros usuários.
A versão 3.6.10 corrige a vulnerabilidade XSS no WeGIA, prevenindo a execução de código malicioso.
Revise os logs de auditoria, altere as senhas de todos os usuários e considere realizar uma auditoria de segurança completa.
Implemente políticas de segurança robustas, como a validação e o saneamento de entradas de usuário, e realize testes de penetração periódicos.
Você pode encontrar mais informações em bancos de dados de vulnerabilidades como o NVD (National Vulnerability Database) ou no site do WeGIA.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.