Plataforma
php
Componente
wegia
Corrigido em
3.6.11
Uma vulnerabilidade de Cross-Site Scripting (XSS) armazenada foi descoberta no WeGIA, um gerenciador web para instituições de caridade. Essa falha, presente nas versões 3.6.0 até 3.6.10, permite que um atacante injete código malicioso no campo 'Nome Sócio' durante o registro de membros. O script injetado é armazenado persistentemente no banco de dados e executado sempre que um usuário acessa determinadas URLs, comprometendo a segurança da aplicação. A versão 3.6.10 corrige essa vulnerabilidade.
A exploração bem-sucedida desta vulnerabilidade XSS armazenada permite que um atacante execute scripts maliciosos no navegador de usuários que acessam páginas afetadas. Isso pode levar ao roubo de cookies de sessão, redirecionamento para sites maliciosos, defacement da página ou até mesmo à execução de ações em nome do usuário autenticado. O impacto é significativo, pois a persistência do script no banco de dados significa que a vulnerabilidade pode afetar múltiplos usuários e permanecer ativa até que a correção seja aplicada. A ausência de validação adequada da entrada do usuário no campo 'Nome Sócio' é a causa raiz do problema, permitindo a injeção de código JavaScript.
A vulnerabilidade foi divulgada em 2026-04-17. Não há informações disponíveis sobre a adição a KEV ou a existência de exploits públicos. A probabilidade de exploração é considerada média, dada a facilidade de exploração de XSS e a natureza persistente da vulnerabilidade. É recomendável monitorar a situação e implementar as medidas de mitigação o mais rápido possível.
Status do Exploit
EPSS
0.04% (percentil 12%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 3.6.10 do WeGIA. Caso a atualização imediata não seja possível, considere implementar medidas de segurança adicionais, como a validação rigorosa de todas as entradas de usuário no lado do servidor, incluindo o campo 'Nome Sócio'. Implementar um Web Application Firewall (WAF) com regras para detectar e bloquear payloads XSS comuns também pode ajudar a reduzir o risco. Monitore os logs de acesso e erro do WeGIA em busca de padrões suspeitos, como tentativas de injeção de código JavaScript. Após a atualização, confirme a correção verificando se a injeção de scripts no campo 'Nome Sócio' não é mais possível e se os scripts injetados anteriormente foram removidos do banco de dados.
Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos de entrada en el campo 'Nombre Sócio', evitando el almacenamiento y ejecución de scripts maliciosos.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
It's a Stored Cross-Site Scripting (XSS) vulnerability in WeGIA, allowing attackers to inject malicious scripts via the 'Member Name' field.
If you are using WeGIA versions 3.6.0 through 3.6.9, you are vulnerable. Upgrade to 3.6.10 immediately.
Upgrade WeGIA to version 3.6.10. As a temporary workaround, implement input validation and WAF rules.
Currently, there are no known public exploits or active campaigns targeting this vulnerability, but it remains a significant risk.
Refer to the official WeGIA security advisory and the NVD entry for CVE-2026-40286 for detailed information.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.