Informazioni sul CVE-2025-22616
WeGIA Cross-Site Scripting (XSS) Stored endpoint 'dependente_parentesco_adicionar.php' parameter 'descricao'
CWE ID: CWE-79
Base Score (CVSS): 6.4
CVE: CVE-2025-22616
Descrizione: WeGIA è un gestore web open source focalizzato sulla lingua portoghese e istituzioni caritatevoli. È stata identificata una vulnerabilità Stored Cross-Site Scripting (XSS) nell’endpoint `dependente_parentesco_adicionar.php` dell’applicazione WeGIA. Questa vulnerabilità consente agli attaccanti di iniettare script malevoli nel parametro `descricao`. Gli script iniezzati vengono memorizzati sul server e eseguiti automaticamente ogni volta che l’utente accede alla pagina interessata, creando un rischio di sicurezza significativo. L’applicazione non convalida e sanifica correttamente gli input dell’utente nel parametro `dependente_parentesco_adicionar.php`. Questa mancanza di convalida consente agli attaccanti di iniettare script malevoli, che vengono poi memorizzati sul server. Ogni volta che l’utente accede alla pagina, il payload malevolo viene eseguito nel browser del vittima, potenzialmente compromettendo i dati e il sistema dell’utente. Questo problema è stato risolto in versione 3.2.6 e gli utenti sono invitati ad aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-xm3h-x3rv-whr5
- https://github.com/LabRedesCefetRJ/WeGIA/commit/1825e235aa4ab1b8b641a02c3ec8bc32ea7a8433
Prodotti interessati
- LabRedesCefetRJ – WeGIA
Relazioni con altri prodotti
Produttore:LabRedesCefetRJ
Prodotto: WeGIA
Anno: 2025
CWE: CWE-79
CVSS: 6.4