Informazioni sul CVE-2025-23035
Cross-Site Scripting (XSS) Stored endpoint 'adicionar_tipo_quadro_horario.php' parameter 'tipo' in WeGIA
CWE ID: CWE-79
Base Score (CVSS): 6.4
CVE: CVE-2025-23035
Descrizione: WeGIA è un gestore web open source focalizzato sulla lingua portoghese e istituzioni caritative. È stata identificata una vulnerabilità Stored Cross-Site Scripting (XSS) nel punto di accesso `adicionar_tipo_quadro_horario.php` dell’applicazione WeGIA. Questa vulnerabilità consente agli attaccanti di iniettare script malevoli nel parametro `tipo`. Gli script iniezione sono memorizzati sul server e vengono eseguiti automaticamente ogni volta che l’utente interessato accede alla pagina compromessa, creando un significativo rischio per la sicurezza. L’applicazione non convalida e sanifica correttamente gli input dell’utente nel punto di accesso `adicionar_tipo_quadro_horario.php`. Questa mancanza di convalida consente agli attaccanti di iniettare script malevoli, che vengono poi memorizzati sul server. Ogni volta che l’utente interessato accede alla pagina, il payload malevolo viene eseguito nel browser del vittima, potenzialmente compromettendo i dati e il sistema dell’utente. Questo problema è stato risolto in versione 3.2.6. Si consiglia a tutti gli utenti di aggiornare. Non ci sono soluzioni note per questa vulnerabilità.
Vettore di attacco
Punteggio CVSS
Il CVSS è un sistema di valutazione che misura la gravità di una vulnerabilità informatica considerando fattori come l’impatto potenziale, la probabilità di attacco e la facilità di esecuzione.
Riassunto: .
Dettaglio del Vettore
| Metrica | Valore | Significato | Descrizione |
|---|
Riferimenti esterni
- https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-qfmh-qrr2-5c4g
- https://github.com/LabRedesCefetRJ/WeGIA/commit/673d7a36baebb1a0093f421cfd51e3df8a55c84a
Prodotti interessati
- LabRedesCefetRJ – WeGIA
Relazioni con altri prodotti
Produttore:LabRedesCefetRJ
Prodotto: WeGIA
Anno: 2025
CWE: CWE-79
CVSS: 6.4