MEDIUMCVE-2026-40284CVSS 6.8

WeGIA 在 listar_despachos.php 中存在存储型 XSS 漏洞

Q: CVE-2026-40284 是什么 — WeGIA 中的 Cross-Site Scripting (XSS)？

XSS（跨站脚本）是一种安全漏洞类型，允许攻击者将恶意脚本注入到其他用户查看的 Web 页面中。

Q: WeGIA 中的 CVE-2026-40284 是否会影响我？

版本 3.6.10 修复了 WeGIA 中的 XSS 漏洞，从而防止恶意代码执行。

Q: 如何修复 WeGIA 中的 CVE-2026-40284？

检查审计日志，更改所有用户密码，并考虑进行全面的安全审计。

Q: CVE-2026-40284 是否正在被积极利用？

实施强大的安全策略，例如输入验证和清理，并进行定期的渗透测试。

Q: 在哪里可以找到 WeGIA 关于 CVE-2026-40284 的官方安全通告？

您可以在漏洞数据库（例如 NVD（国家漏洞数据库））或 WeGIA 网站上找到更多信息。

平台

php

组件

wegia

修复版本

3.6.11

AI Confidence: highNVDEPSS 0.0%已审阅: 2026年5月

在NVD查看

保存

WeGIA是一个为慈善机构提供的Web管理器。在3.6.10版本之前，存在一个存储型跨站脚本 (XSS) 漏洞，允许经过身份验证的用户通过“Destinatário”字段注入恶意JavaScript。该Payload会被存储，并在查看派送页面时执行，从而影响其他用户。该漏洞影响WeGIA版本3.6.0–< 3.6.10，目前已通过3.6.10版本修复。

影响与攻击场景

CVE-2026-40284 影响 WeGIA，一个为慈善机构提供的 Web 管理工具。此漏洞是一种存储型跨站脚本 (XSS) 漏洞，允许经过身份验证的用户通过“Destinatário”（收件人）字段注入恶意 JavaScript 代码。有效载荷被存储，并在查看发送页面时随后执行，可能影响其他用户。CVSS 分数为 6.8，表明存在中等风险。此漏洞的存储性质意味着攻击可以持续存在，并且无需重复注入即可影响多个用户。这可能导致凭据被盗、数据篡改或重定向到恶意网站。影响的严重程度取决于受影响用户的权限以及 WeGIA 处理的数据的敏感性。

利用背景

拥有“Destinatário”字段访问权限的经过身份验证的攻击者可以利用此漏洞。攻击者将恶意 JavaScript 代码注入到此字段中。当另一个用户（或同一攻击者）查看发送页面时，JavaScript 代码将在用户的浏览器上下文中执行，从而使攻击者能够执行恶意操作。此漏洞的根本原因是“Destinatário”字段中用户输入的适当验证不足。恶意代码在数据库中持久存在意味着可以无需新的注入即可重复利用此漏洞。

哪些人处于风险中翻译中…

Charitable institutions and organizations utilizing WeGIA version 3.6.0 through 3.6.10 are at risk. Specifically, organizations with multiple authenticated users and those who rely on WeGIA for managing beneficiary information and donations are particularly vulnerable. Shared hosting environments where multiple WeGIA instances reside on the same server could also amplify the impact of a successful attack.

检测步骤翻译中…

• php: Examine WeGIA application logs for suspicious JavaScript injection attempts in the 'Destinatário' field. Look for patterns like <script> tags or javascript: URLs.

grep -i 'javascript:|script' /var/log/apache2/access.log | grep 'wegia'

• generic web: Use curl to test the dispatch page with a simple XSS payload in the 'Destinatário' field and observe the response for signs of script execution.

curl -X POST -d "Destinatario=<script>alert('XSS')</script>" http://wegia-instance/dispatch.php

• generic web: Check the HTML source code of the dispatch page for any injected JavaScript code. Inspect the 'Destinatário' field for unexpected script tags.

攻击时间线

2026-04-17Disclosure
disclosure

威胁情报

漏洞利用状态

概念验证未知

CISA KEVNO

互联网暴露高

报告1 份威胁报告

EPSS

0.04% (12% 百分位)

CISA SSVC

利用情况poc

可自动化no

技术影响partial

受影响的软件

组件wegia

供应商LabRedesCefetRJ

影响范围修复版本

< 3.6.10 – < 3.6.103.6.11

弱点分类 (CWE)

CWE-79

时间线

已保留2026-04-10
发布日期2026-04-17
修改日期2026-04-20
EPSS 更新日期2026-04-25

缓解措施和替代方案

CVE-2026-40284 的解决方案是将 WeGIA 更新到 3.6.10 或更高版本。此版本包含可减轻 XSS 漏洞的修复程序。建议尽快应用此更新，尤其是在 WeGIA 由多个用户使用或处理敏感信息时。此外，请检查审计日志，是否有任何先前攻击的迹象，并采取纠正措施。实施强大的安全策略，例如输入验证和清理，可以帮助防止未来的 XSS 漏洞。定期渗透测试也是识别和修复潜在安全缺陷的良好实践。

修复方法翻译中…

Actualice WeGIA a la versión 3.6.10 o posterior para mitigar la vulnerabilidad de XSS. La actualización corrige la forma en que se manejan los datos del campo 'Destinatário', evitando la inyección de código malicioso.

CVE 安全通讯

漏洞分析和关键警报直接发送到您的邮箱。

常见问题

CVE-2026-40284 是什么 — WeGIA 中的 Cross-Site Scripting (XSS)？