平台
php
组件
wegia
修复版本
3.6.8
CVE-2026-33136是一个高危漏洞,属于跨站脚本攻击(XSS)。该漏洞存在于WeGIA慈善机构管理器中,允许攻击者通过注入恶意脚本来控制用户浏览器。受影响的版本包括3.6.6及更早版本。建议立即升级至3.6.7版本以修复此问题。
攻击者可以利用此XSS漏洞在受影响的WeGIA系统中执行任意JavaScript代码。这可能导致攻击者窃取用户会话cookie,冒充用户执行操作,篡改网页内容,甚至劫持整个应用程序。攻击者可以通过构造恶意的URL,诱骗用户点击,从而触发该漏洞。由于WeGIA通常用于管理敏感的慈善捐款和用户信息,因此该漏洞可能导致严重的财务损失和声誉损害。
该漏洞已公开披露,且CVSS评分为9.3(严重),表明其具有较高的利用风险。目前尚未观察到大规模的利用活动,但由于XSS漏洞的易利用性,建议尽快采取缓解措施。该漏洞的公开披露日期为2026年3月20日。
Charitable institutions using WeGIA versions 3.6.6 and earlier are at significant risk. Organizations relying on WeGIA for managing donor information or beneficiary data are particularly vulnerable, as a successful XSS attack could lead to data breaches and reputational damage. Shared hosting environments where multiple websites share the same server resources may also be affected if one website is compromised.
• php: Examine access logs for requests to /html/memorando/listarmemorandosativos.php containing unusual or obfuscated characters in the sccd GET parameter.
grep 'sccd=[a-zA-Z0-9><"\;]+' /var/log/apache2/access.log• generic web: Use curl to test the endpoint with a simple XSS payload and observe the response.
curl 'http://wegia-server/html/memorando/listar_memorandos_ativos.php?sccd=<script>alert("XSS")</script>' • generic web: Check response headers for missing or incorrect Content-Security-Policy (CSP) directives, which could allow XSS attacks to succeed.
disclosure
漏洞利用状态
EPSS
0.03% (10% 百分位)
CISA SSVC
最有效的缓解措施是立即将WeGIA升级至3.6.7版本或更高版本。如果无法立即升级,可以尝试以下临时缓解措施:严格审查所有输入数据,特别是来自URL的GET参数,并进行适当的输入验证和输出编码。配置Web应用程序防火墙(WAF)以检测和阻止XSS攻击。禁用或限制对listarmemorandosativos.php的访问,除非绝对必要。在服务器端实施内容安全策略(CSP)以限制浏览器可以加载的资源。
将 WeGIA 更新到 3.6.7 或更高版本。此版本包含 XSS 漏洞的修复。从官方仓库或供应商网站下载最新版本。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-33136是一个高危的跨站脚本攻击(XSS)漏洞,影响WeGIA慈善机构管理器版本小于等于3.6.6。攻击者可以利用此漏洞注入恶意脚本,控制用户浏览器。
如果您正在使用WeGIA慈善机构管理器版本小于等于3.6.6,则您可能受到此漏洞的影响。请立即检查您的版本并升级。
最有效的修复方法是立即将WeGIA升级至3.6.7版本或更高版本。
目前尚未观察到大规模的利用活动,但由于XSS漏洞的易利用性,建议尽快采取缓解措施。
请访问WeGIA官方网站或查阅相关的安全公告,以获取有关CVE-2026-33136的官方信息。
CVSS 向量