WeGIA is a web manager for charitable institutions. Versions 3.6.6 and below have a Reflected Cross-Site Scripting (XSS) vulnerability in the listar_memorandos_ativos.php endpoint. An attacker can inject arbitrary JavaScript or HTML tags into the sccd GET parameter, which is then directly echoed into the HTML response without any sanitization or encoding. The script /html/memorando/listar_memorandos_ativos.php handles dynamic success messages to users using query string parameters. Similar to other endpoints in the Memorando module, it checks if $_GET['msg'] equals 'success'. If this condition is met, it directly concatenates and reflects $_GET['sccd'] into an HTML alert <div>. This issue is resolved in version 3.6.7.
WeGIA versions 3.6.6 and below contain a reflected XSS vulnerability in listar_memorandos_ativos.php where the sccd parameter is directly echoed without sanitization. Attackers can inject malicious JavaScript to compromise charitable institution systems and steal sensitive data.
تحتوي نسخة WeGIA 3.6.6 وأقل على ثغرة XSS معكوسة في ملف listar_memorandos_ativos.php حيث يتم عكس معامل GET المسمى sccd مباشرة في استجابة HTML دون أي تنظيف أو ترميز. يمكن للمهاجم استخدام هذه الثغرة لحقن كود JavaScript ضار والذي سيتم تنفيذه في متصفح المستخدم عند زيارة رابط مصنوع بعناية.
إصدارات WeGIA 3.6.6 وأقل تحتوي على ثغرة XSS معكوسة في listar_memorandos_ativos.php حيث يتم عكس معامل sccd مباشرة دون تنظيف. يمكن للمهاجمين حقن JavaScript ضار للتأثير على أنظمة المؤسسات الخيرية وسرقة البيانات الحساسة.
Upgrade WeGIA to version 3.6.7 or later immediately. Implement input validation and output encoding for all user-supplied parameters. Apply Content Security Policy (CSP) headers to prevent inline script execution. Conduct security code review of all endpoints handling query parameters.
قم بترقية WeGIA إلى الإصدار 3.6.7 أو أحدث فوراً. طبق التحقق من صحة المدخلات وترميز المخرجات لجميع المعاملات المزودة من المستخدم. طبق رؤوس سياسة أمان المحتوى (CSP) لمنع تنفيذ البرامج النصية المضمنة. أجرِ مراجعة أمان الكود لجميع نقاط النهاية التي تتعامل مع معاملات الاستعلام.