CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-28411

Critical
Published: Translated: NVD NIST

Summary

WeGIA to menedżer stron internetowych dla instytucji charytatywnych. Przed wersją 3.6.5, niebezpieczne użycie funkcji `extract()` na superglobalnej tablicy `$_REQUEST` pozwalało nieautoryzowanemu atakującemu na nadpisanie lokalnych zmiennych w wielu skryptach PHP.

Risk Assessment

Ta podatność może być wykorzystana do całkowitego ominięcia kontroli autoryzacji, co umożliwia nieautoryzowany dostęp do administracyjnych i chronionych obszarów aplikacji WeGIA.

Recommendation

Zaleca się aktualizację do wersji 3.6.5, która naprawia tę lukę bezpieczeństwa.

Original NVD description (English source)

WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, an unsafe use of the `extract()` function on the `$_REQUEST` superglobal allows an unauthenticated attacker to overwrite local variables in multiple PHP scripts. This vulnerability can be leveraged to completely bypass authentication checks, allowing unauthorized access to administrative and protected areas of the WeGIA application. Version 3.6.5 fixes the issue.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS