CVE-2026-23722 是 WeGIA 慈善机构 Web 管理器中的一个跨站脚本 (XSS) 漏洞。该漏洞允许未经身份验证的攻击者通过注入恶意 JavaScript 代码来影响用户会话。该漏洞影响 WeGIA 版本 3.6.2 及更早版本,已在 3.6.2 版本中修复。
攻击者可以利用此 XSS 漏洞在受影响的 WeGIA 系统的用户浏览器中执行任意 JavaScript 代码。这可能导致敏感信息泄露,例如用户凭据、会话 Cookie 和其他个人数据。攻击者还可以利用此漏洞劫持用户会话,冒充用户执行恶意操作,例如修改数据或访问受保护的资源。由于漏洞的严重性,攻击者可能能够完全控制受影响的系统。
该漏洞已公开披露,并且存在潜在的利用风险。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞已添加到 NVD 数据库中,并已发布相应的安全公告。
Charitable institutions and organizations utilizing WeGIA version 3.6.2 or earlier are at significant risk. This includes organizations relying on WeGIA for donor management, financial tracking, and other critical operations. Shared hosting environments where multiple organizations share the same server infrastructure are particularly vulnerable, as a compromise of one WeGIA instance could potentially impact others.
• php: Examine the html/memorando/inseredespacho.php file for inadequate input sanitization of the idmemorando parameter.
• generic web: Monitor access logs for requests containing JavaScript code in the idmemorando parameter (e.g., ?idmemorando=<script>alert('XSS')</script>).
• generic web: Check response headers for signs of JavaScript injection.
• generic web: Use curl to test the endpoint with a simple XSS payload: curl 'http://wegia-instance.com/html/memorando/inseredespacho.php?idmemorando=<script>alert("XSS")</script>'
disclosure
漏洞利用状态
EPSS
0.11% (29% 百分位)
CISA SSVC
CVSS 向量
最有效的缓解措施是立即将 WeGIA 慈善机构 Web 管理器升级至 3.6.2 版本或更高版本。如果无法立即升级,可以考虑使用 Web 应用防火墙 (WAF) 来过滤恶意输入,并实施严格的输入验证和输出编码策略。此外,应定期审查和更新 WeGIA 系统的配置,以确保其安全性。
将WeGIA更新到3.6.2或更高版本。此版本包含XSS漏洞的修复。从供应商的官方网站或提供的更新渠道下载最新版本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-23722 是 WeGIA 慈善机构 Web 管理器 3.6.2 及更早版本中的一个跨站脚本 (XSS) 漏洞,允许攻击者通过注入恶意 JavaScript 代码来影响用户会话。
如果您正在使用 WeGIA 慈善机构 Web 管理器 3.6.2 或更早版本,则您可能受到此漏洞的影响。请立即升级至 3.6.2 或更高版本。
最有效的修复方法是立即将 WeGIA 慈善机构 Web 管理器升级至 3.6.2 版本或更高版本。
虽然目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 WeGIA 官方网站或查阅相关的安全公告,以获取有关 CVE-2026-23722 的更多信息和修复指南。