CRITICAL🇬🇧 English

CVE-2026-33135

Reflected XSS w WeGIA — wstrzyknięcie kodu JS przez parametr GET

CVSS 9.3v3.1pub. 2026-03-20

WeGIA w wersjach 3.6.6 i wcześniejszych zawiera podatność typu Reflected Cross-Site Scripting (XSS) w endpointcie novo_memorandoo.php. Atakujący może wstrzyknąć dowolny kod JavaScript poprzez parametr GET 'sccs', który jest bezpośrednio osadzany w odpowiedzi HTML bez żadnej sanityzacji ani kodowania.

Pokaż oryginał (EN)

WeGIA is a web manager for charitable institutions. Versions 3.6.6 and below have a Reflected Cross-Site Scripting (XSS) vulnerability in the novo_memorandoo.php endpoint. An attacker can inject arbitrary JavaScript into the sccs GET parameter, which is directly echoed into the HTML response without any sanitization or encoding. The script /html/memorando/novo_memorandoo.php reads HTTP GET parameters to display dynamic success messages to the user. At approximately line 273, the code checks if $_GET['msg'] equals 'success'. If true, it directly concatenates $_GET['sccs'] into an HTML alert <div> and outputs it to the browser. This issue has been fixed in version 3.6.7.

🤖 Analiza AI
Jak działa

Skrypt /html/memorando/novo_memorandoo.php odczytuje parametry GET w celu wyświetlania dynamicznych komunikatów o powodzeniu operacji. W okolicach linii 273 kod sprawdza, czy parametr $_GET['msg'] ma wartość 'success', a jeśli tak — bezpośrednio konkatenuje wartość $_GET['sccs'] do elementu HTML alert <div> i odsyła ją do przeglądarki. Brak jakiejkolwiek walidacji, kodowania ani sanityzacji sprawia, że dowolny payload JavaScript zawarty w parametrze 'sccs' zostanie wykonany w kontekście przeglądarki ofiary. Atak wymaga nakłonienia użytkownika do kliknięcia w odpowiednio spreparowany link (UI:R), jednak wykonuje się w kontekście innej domeny (S:C), co podnosi jego dotkliwość.

Skutki

Atakujący może wykonać dowolny kod JavaScript w przeglądarce ofiary, co umożliwia kradzież sesji, danych uwierzytelniających, manipulację treścią strony oraz przeprowadzanie dalszych ataków na użytkownika lub instytucję korzystającą z systemu WeGIA.

Mitygacja

Należy zaktualizować WeGIA do wersji 3.6.7, w której problem został rozwiązany. Patch dostępny jest w repozytorium projektu oraz w oficjalnych notach wydania pod adresem https://github.com/LabRedesCefetRJ/WeGIA/releases/tag/3.6.7

Kogo dotyczy

WeGIA w wersjach 3.6.6 i wcześniejszych

Uwagi

Podatność została naprawiona w wersji 3.6.7. Szczegóły techniczne, w tym wskazanie konkretnej linii kodu (ok. linia 273), zostały ujawnione w ramach security advisory GHSA-w5rv-5884-w94v opublikowanego przez zespół projektu WeGIA.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N
  • Wegia

    APP
    Wegia
    < 3.6.7
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
XSS
CWE
Referencje

Powiązane podatności

CVE-2026-33136CRITICAL9.3PL ✓ten sam produkt

Reflected XSS w WeGIA — wstrzyknięcie kodu przez parametr sccd

CVE-2026-33134CRITICAL9.3PL ✓ten sam produkt

SQL Injection w WeGIA — kompromitacja bazy danych przez parametr id_produto

CVE-2026-31896CRITICAL9.8PL ✓ten sam produkt

SQL Injection w WeGIA – nieautoryzowane wykonanie poleceń SQL

CVE-2026-28408CRITICAL9.8PL ✓ten sam produkt

WeGIA – pominięcie uwierzytelnienia w adicionar_tipo_docs_atendido.php

CVE-2026-28409CRITICAL10.0PL ✓ten sam produkt

WeGIA – RCE przez command injection w funkcji przywracania bazy danych