Vulnerabilities ›

CVE-2026-33136

Critical ⚡ Exploit Available

CWE-79 — Weakness Type

                    Published: Mar 20, 2026                      ·  Modified: Mar 23, 2026                      ·  Source: NVD                

CVSS v3

9.3

🔗 NVD Official

📄 Description (English)

WeGIA is a web manager for charitable institutions. Versions 3.6.6 and below have a Reflected Cross-Site Scripting (XSS) vulnerability in the listar_memorandos_ativos.php endpoint. An attacker can inject arbitrary JavaScript or HTML tags into the sccd GET parameter, which is then directly echoed into the HTML response without any sanitization or encoding. The script /html/memorando/listar_memorandos_ativos.php handles dynamic success messages to users using query string parameters. Similar to other endpoints in the Memorando module, it checks if $_GET['msg'] equals 'success'. If this condition is met, it directly concatenates and reflects $_GET['sccd'] into an HTML alert <div>. This issue is resolved in version 3.6.7.

🤖 AI Executive Summary

WeGIA versions 3.6.6 and below contain a reflected XSS vulnerability in listar_memorandos_ativos.php where the sccd parameter is directly echoed without sanitization. Attackers can inject malicious JavaScript to compromise charitable institution systems and steal sensitive data.

📄 Description (Arabic)

تحتوي نسخة WeGIA 3.6.6 وأقل على ثغرة XSS معكوسة في ملف listar_memorandos_ativos.php حيث يتم عكس معامل GET المسمى sccd مباشرة في استجابة HTML دون أي تنظيف أو ترميز. يمكن للمهاجم استخدام هذه الثغرة لحقن كود JavaScript ضار والذي سيتم تنفيذه في متصفح المستخدم عند زيارة رابط مصنوع بعناية.

🤖 ملخص تنفيذي (AI)

إصدارات WeGIA 3.6.6 وأقل تحتوي على ثغرة XSS معكوسة في listar_memorandos_ativos.php حيث يتم عكس معامل sccd مباشرة دون تنظيف. يمكن للمهاجمين حقن JavaScript ضار للتأثير على أنظمة المؤسسات الخيرية وسرقة البيانات الحساسة.

🤖 AI Intelligence Analysis Analyzed: Apr 12, 2026 15:35

🇸🇦 Saudi Arabia Impact Assessment

Saudi Relevance: high

🏢 Affected Saudi Sectors

government healthcare banking

🎯 MITRE ATT&CK Techniques

T1190 T1566 T1598 T1598.003

⚖️ Saudi Risk Score (AI)

9.0

/ 10.0

🔧 Remediation Steps (English)

Upgrade WeGIA to version 3.6.7 or later immediately. Implement input validation and output encoding for all user-supplied parameters. Apply Content Security Policy (CSP) headers to prevent inline script execution. Conduct security code review of all endpoints handling query parameters.

🔧 خطوات المعالجة (العربية)

قم بترقية WeGIA إلى الإصدار 3.6.7 أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع المعاملات المزودة من المستخدم. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. أجرِ مراجعة أمان الكود لجميع نقاط النهاية التي تتعامل مع معاملات الاستعلام.

📋 Regulatory Compliance Mapping

🟢 NCA ECC 2024

7.1 7.2 8.1 8.2

🔵 SAMA CSF

ID.GV-3 PR.AC-1 PR.DS-1 DE.CM-1

🟡 ISO 27001:2022

A.14.2.1 A.14.2.5 A.13.1.1 A.13.2.1

🔗 References & Sources 2

🔗

https://github.com/LabRedesCefetRJ/WeGIA/releases/tag/3.6.7

security-advisories@github.com

Release Notes

🔗

https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-xjqp-5q3h-2cxh

security-advisories@github.com

Exploit Vendor Advisory

📦 Affected Products / CPE 1 entries

wegia:wegia

📊 CVSS Score

9.3

/ 10.0 — Critical

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionR — Required

ScopeC — Changed

ConfidentialityH — High

IntegrityH — High

AvailabilityN — None / Network

📋 Quick Facts

Severity Critical

CVSS Score9.3

CWECWE-79

Exploit ✓ Yes

Patch ✓ Yes

Published 2026-03-20

Source Feed nvd

🇸🇦 Saudi Risk Score

9.0

/ 10.0 — Saudi Risk

Priority: CRITICAL

🏷️ Tags

exploit-available CWE-79

🏢 Vendor Advisories

🔗 https://github.com/LabRedesCefetRJ/WeGIA/security/ad...

⚡ Actions

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-33136

Introduce Yourself

Sign In Required