WeGIA is a web manager for charitable institutions. Versions 3.6.6 and below have a Reflected Cross-Site Scripting (XSS) vulnerability in the novo_memorandoo.php endpoint. An attacker can inject arbitrary JavaScript into the sccs GET parameter, which is directly echoed into the HTML response without any sanitization or encoding. The script /html/memorando/novo_memorandoo.php reads HTTP GET parameters to display dynamic success messages to the user. At approximately line 273, the code checks if $_GET['msg'] equals 'success'. If true, it directly concatenates $_GET['sccs'] into an HTML alert <div> and outputs it to the browser. This issue has been fixed in version 3.6.7.
WeGIA charitable institution web manager versions 3.6.6 and below contain a reflected XSS vulnerability in novo_memorandoo.php where the 'sccs' GET parameter is directly echoed without sanitization. An attacker can inject malicious JavaScript to compromise user sessions and steal sensitive data from charitable organizations.
ثغرة XSS معكوسة في نقطة نهاية novo_memorandoo.php بمدير الويب WeGIA للمؤسسات الخيرية تسمح بحقن JavaScript عشوائي عبر معامل GET 'sccs'. يتم إرجاع المعامل مباشرة في استجابة HTML دون أي تنظيف أو ترميز، مما يمكّن المهاجمين من تنفيذ رموز ضارة في متصفحات المستخدمين.
مدير الويب WeGIA للمؤسسات الخيرية الإصدارات 3.6.6 وما دونها تحتوي على ثغرة XSS معكوسة في novo_memorandoo.php حيث يتم إرجاع معامل GET 'sccs' مباشرة دون تنظيف. يمكن للمهاجم حقن JavaScript ضار لاختراق جلسات المستخدم وسرقة البيانات الحساسة من المؤسسات الخيرية.
Upgrade WeGIA to version 3.6.7 or later immediately. Implement input validation and output encoding for all GET parameters, particularly the 'sccs' parameter. Apply Web Application Firewall (WAF) rules to detect and block XSS payloads. Conduct security code review of novo_memorandoo.php and similar endpoints handling user input.
قم بترقية WeGIA إلى الإصدار 3.6.7 أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع معاملات GET خاصة معامل 'sccs'. طبق قواعد جدار حماية تطبيقات الويب لكشف وحجب حمولات XSS. أجرِ مراجعة أمان شاملة للكود في novo_memorandoo.php والنقاط النهائية المشابهة.