Vulnerabilidad en WeGIA (CVE-2025-23037)
Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-79
Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
14/01/2025
Última modificación:
14/01/2025
Descripción
WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de Cross Site Scripting Almacenado (XSS) en el endpoint `control.php` de la aplicación WeGIA. Esta vulnerabilidad permite a los atacantes inyectar scripts maliciosos en el parámetro `cargo`. Las scripts inyectados se almacenan en el servidor y se ejecutan automáticamente cada vez que los usuarios acceden a la página afectada, lo que supone un importante riesgo de seguridad. La aplicación no puede validar ni desinfectar correctamente las entradas del usuario en el parámetro `control.php`. Esta falta de validación permite a los atacantes inyectar scripts maliciosos, que luego se almacenan en el servidor. Cada vez que se accede a la página afectada, el payload malicioso se ejecuta en el navegador de la víctima, lo que puede comprometer los datos y el sistema del usuario. Este problema se ha solucionado en la versión 3.2.6. Se recomienda a todos los usuarios que actualicen. No se conocen workarounds para esta vulnerabilidad.
Impacto
Puntuación base 4.0
6.40
Gravedad 4.0
MEDIA