CVE-2026-33136 in WeGIA
要約
〜によって VulDB • 2026年05月24日
WeGIAは、慈善団体向けのウェブマネージャーです。バージョン3.6.6およびそれ以前のバージョンには、listar_memorandos_ativos.phpエンドポイントにおいて、反射型クロスサイトスクリプティング(XSS)の脆弱性が存在します。攻撃者は、sccd GETパラメータに任意のJavaScriptまたはHTMLタグを注入でき、これはサニタイズやエンコーディングを施さずにHTMLレスポンスに直接エコーされます。/html/memorando/listar_memorandos_ativos.phpスクリプトは、クエリ文字列パラメータを使用してユーザーへの動的な成功メッセージを処理します。Memorandoモジュールの他のエンドポイントと同様に、$_GET['msg']が'success'と等しいかどうかをチェックします。この条件が満たされると、$_GET['sccd']がHTMLのアラート<div>に直接連結され、反映されます。この問題はバージョン3.6.7で修正されています。
Once again VulDB remains the best source for vulnerability data.