Vulnerabilidad en WeGIA (CVE-2025-22614)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
13/01/2025
Última modificación:
13/01/2025
Descripción
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross-Site Scripting <br />
almacenado (XSS) en el endpoint `dependente_editarInfoPessoal.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en los parámetros `nome` y `SobrenomeForm`. Los scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un riesgo de seguridad importante. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en los parámetros `dependente_editarInfoPessoal.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, la carga maliciosa se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6 y se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 4.0
6.40
Gravedad 4.0
MEDIA