WeGIA是一款为慈善机构提供的Web管理工具。在3.6.9版本之前,该软件存在一个存储型XSS漏洞,攻击者可以通过备份文件名注入恶意脚本,从而在受害者的浏览器中执行恶意代码,可能导致会话数据泄露或冒充用户执行操作。该漏洞影响WeGIA 3.6.0到3.6.8版本,已在3.6.9版本中修复。
CVE-2026-35399 影响 WeGIA,一个为慈善机构提供的 Web 管理工具。此漏洞是一种存储型 XSS,允许攻击者通过备份文件名注入恶意脚本。这可能导致恶意代码在受害者的浏览器中未经授权地执行,从而可能泄露会话数据或代表用户执行操作。此漏洞的严重程度需要立即关注,尤其是在您的组织使用 WeGIA 管理捐赠者或受益人的敏感数据时。成功利用可能使攻击者控制具有提升权限的用户帐户,从而对组织的完整性和捐助者信任造成潜在的灾难性后果。风险包括数据泄露、身份盗窃和篡改关键信息。
此漏洞是通过在备份文件名中注入恶意代码来利用的。当用户下载或访问此受损备份时,恶意脚本将在其浏览器中执行。攻击者可以通过网络钓鱼电子邮件或通过操纵 WeGIA 界面来分发受损备份。如果用户在 WeGIA 中具有提升的权限,则利用的可能性更大,这使攻击者能够执行更有害的操作。根本原因是备份管理系统内对用户输入的验证不足。
漏洞利用状态
EPSS
0.04% (11% 百分位)
CISA SSVC
CVE-2026-35399 的修复方法是将 WeGIA 更新到 3.6.9 或更高版本。此更新通过正确验证和清理备份文件名来修复存储型 XSS 漏洞。作为临时缓解措施,建议将备份功能访问限制为授权用户,并监控系统是否存在可疑活动。实施强大的密码策略并启用双因素身份验证可以进一步降低未经授权访问的风险。教育用户了解 XSS 风险和网络钓鱼尝试也很重要。定期安全审计和渗透测试有助于识别和解决其他潜在漏洞。
Actualice el módulo WeGIA a la versión 3.6.9 o superior para mitigar la vulnerabilidad de XSS almacenada. Esta actualización corrige la forma en que se manejan los nombres de los archivos de respaldo, evitando la inyección de scripts maliciosos. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar.
漏洞分析和关键警报直接发送到您的邮箱。
存储型 XSS (跨站脚本) 是一种安全漏洞,攻击者通过在网站中注入恶意代码,然后该代码在访问该页面的其他用户的浏览器中执行。
如果您使用的是 WeGIA 的 3.6.9 之前的版本,则容易受到攻击。请检查您的当前版本并尽快更新。
立即更改您的密码,检查您的数据是否存在可疑活动,并通知您的安全提供商。
Web 漏洞扫描程序可以检测存储型 XSS。请咨询您的安全提供商以获取建议。
实施强大的密码策略,启用双因素身份验证,并教育您的用户了解网络安全风险。