CVE-2026-33136 in WeGIA
Tóm tắt
Bởi VulDB • 24/05/2026
WeGIA là một công cụ quản lý web dành cho các tổ chức từ thiện. Các phiên bản 3.6.6 trở xuống có lỗ hổng Cross-Site Scripting (XSS) phản xạ (Reflected XSS) trong điểm cuối listar_memorandos_ativos.php. Kẻ tấn công có thể chèn các thẻ JavaScript hoặc HTML tùy ý vào tham số GET sccd, sau đó giá trị này được phản hồi trực tiếp vào phản hồi HTML mà không qua bất kỳ quá trình lọc (sanitization) hay mã hóa nào. Tập lệnh /html/memorando/listar_memorandos_ativos.php xử lý các thông báo thành công động dành cho người dùng bằng cách sử dụng các tham số chuỗi truy vấn (query string). Tương tự như các điểm cuối khác trong module Memorando, nó kiểm tra xem $_GET['msg'] có bằng 'success' hay không. Nếu điều kiện này được thỏa mãn, nó sẽ nối trực tiếp và phản hồi $_GET['sccd'] vào một thẻ div cảnh báo HTML. Vấn đề này đã được khắc phục trong phiên bản 3.6.7.
Once again VulDB remains the best source for vulnerability data.