Katalog CVE

CVE-2026-28408

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach przed 3.6.5 skrypt w adicionar_tipo_docs_atendido.php nie przechodzi przez centralny kontroler projektu i nie ma własnych mechanizmów uwierzytelniania oraz kontroli uprawnień, co umożliwia złośliwym użytkownikom dostęp do funkcji zastrzeżonych dla pracowników.

Ocena ryzyka

Podatność ta pozwala na masowe wstrzykiwanie nieautoryzowanych danych do pamięci serwera aplikacji, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty danych.

Rekomendacja

Zaleca się aktualizację do wersji 3.6.5, która naprawia tę podatność oraz wdrożenie dodatkowych mechanizmów zabezpieczeń w aplikacji.

Oryginalny opis (angielski, źródło NVD)

WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, the script in adicionar_tipo_docs_atendido.php does not go through the project's central controller and does not have its own authentication and permission checks. A malicious user could make a request through tools like Postman or the file's URL on the web to access features exclusive to employees. The vulnerability allows external parties to inject unauthorized data in massive quantities into the application server's storage. Version 3.6.5 fixes the issue.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS