CRITICAL🇬🇧 English

CVE-2026-28409

WeGIA – RCE przez command injection w funkcji przywracania bazy danych

CVSS 10.0v3.1pub. 2026-02-27upd. 2026-03-03

Krytyczna podatność klasy command injection (RCE) w aplikacji WeGIA umożliwia atakującemu wykonanie dowolnych poleceń systemu operacyjnego na serwerze. Zagrożenie jest szczególnie poważne, ponieważ wymagany dostęp administracyjny można uzyskać poprzez wcześniej opisaną lukę w uwierzytelnieniu (Authentication Bypass).

Pokaż oryginał (EN)

WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, a critical Remote Code Execution (RCE) vulnerability exists in the WeGIA application's database restoration functionality. An attacker with administrative access (which can be obtained via the previously reported Authentication Bypass) can execute arbitrary OS commands on the server by uploading a backup file with a specifically crafted filename. Version 3.6.5 fixes the issue.

🤖 Analiza AI
Jak działa

Podatność występuje w funkcji przywracania bazy danych aplikacji WeGIA. Atakujący przesyła plik kopii zapasowej z odpowiednio spreparowaną nazwą pliku, która zawiera złośliwe polecenia systemowe. Aplikacja nie sanityzuje poprawnie nazwy przesyłanego pliku przed jej użyciem w wywołaniu polecenia systemowego (CWE-78), co prowadzi do wykonania osadzonych komend z uprawnieniami procesu serwera.

Skutki

Atakujący uzyskuje możliwość wykonania dowolnych poleceń systemu operacyjnego na serwerze, co może prowadzić do pełnego przejęcia kontroli nad systemem, wycieku danych, zniszczenia danych lub dalszego lateral movement w sieci.

Mitygacja

Należy zaktualizować aplikację WeGIA do wersji 3.6.5, która eliminuje opisaną podatność. Szczegóły dostępne w referencjach producenta: https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-5m5g-q2vv-rv3r

Kogo dotyczy

Aplikacja WeGIA w wersjach przed 3.6.5

Uwagi

Podatność wymaga dostępu administracyjnego, jednak zgodnie z opisem można go uzyskać poprzez odrębną lukę Authentication Bypass w tej samej aplikacji, co efektywnie znosi wymóg posiadania uprawnień i podnosi realny poziom ryzyka.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Wegia

    APP
    Wegia
    < 3.6.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
RCEAuth BypassCommand Injection
CWE
Referencje

Powiązane podatności

CVE-2026-33134CRITICAL9.3PL ✓ten sam produkt

SQL Injection w WeGIA — kompromitacja bazy danych przez parametr id_produto

CVE-2026-33136CRITICAL9.3PL ✓ten sam produkt

Reflected XSS w WeGIA — wstrzyknięcie kodu przez parametr sccd

CVE-2026-33135CRITICAL9.3PL ✓ten sam produkt

Reflected XSS w WeGIA — wstrzyknięcie kodu JS przez parametr GET

CVE-2026-31896CRITICAL9.8PL ✓ten sam produkt

SQL Injection w WeGIA – nieautoryzowane wykonanie poleceń SQL

CVE-2026-28408CRITICAL9.8PL ✓ten sam produkt

WeGIA – pominięcie uwierzytelnienia w adicionar_tipo_docs_atendido.php

CVE-2026-28409 — WeGIA – RCE przez command injection w funkcji przywracania bazy danych — CRITICAL 10.0 | CVEbaza.pl