支持本站 — 捐款将帮助我们持续运营

目标:1000 元,已筹:736

73.6%
立即捐款
一、 漏洞 CVE-2026-23722 基础信息
漏洞信息
                                        # WeGIA 反射型XSS漏洞

## 概述
WeGIA 是一个慈善机构管理系统,在版本 3.6.2 之前存在反射型跨站脚本(XSS)漏洞,存在于 `html/memorando/insere_despacho.php` 文件中。

## 影响版本
3.6.2 之前的版本

## 细节
漏洞位于 `html/memorando/insere_despacho.php` 文件,系统未对通过 `id_memorando` GET 参数提供的用户输入进行充分的过滤或编码,导致输入被直接反射到 HTML 页面中(可能位于 `<script>` 标签或 HTML 属性内)。

## 影响
未经身份验证的攻击者可利用该漏洞向用户浏览器会话注入任意 JavaScript 或 HTML 代码,可能导致会话劫持、钓鱼攻击或其他恶意操作。该问题已在 3.6.2 版本中修复。
神龙判断

是否为 Web 类漏洞: 未知

判断理由:

N/A
提示
尽管我们采用了先进的大模型技术,但其输出仍可能包含不准确或过时的信息。
神龙会尽力确保数据准确,但也请结合实际情况进行甄别与判断。
神龙祝您一切顺利!
漏洞标题
WeGIA has a Reflected Cross-Site Scripting (XSS) vulnerability allowing arbitrary code execution and UI redressing.
来源:美国国家漏洞数据库 NVD
漏洞描述信息
WeGIA is a Web Manager for Charitable Institutions. Prior to 3.6.2, a Reflected Cross-Site Scripting (XSS) vulnerability was discovered in the WeGIA system, specifically within the html/memorando/insere_despacho.php file. The application fails to properly sanitize or encode user-supplied input via the id_memorando GET parameter before reflecting it into the HTML source (likely inside a <script> block or an attribute). This allows unauthenticated attackers to inject arbitrary JavaScript or HTML into the context of the user's browser session. This vulnerability is fixed in 3.6.2.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
二、漏洞 CVE-2026-23722 的公开POC
#POC 描述源链接神龙链接
三、漏洞 CVE-2026-23722 的情报信息

  • 标题: Cross-Site Scripting (XSS) Reflected allows arbitrary code execution and UI redressing. · Advisory · LabRedesCefetRJ/WeGIA · GitHub -- 🔗来源链接

    标签:x_refsource_CONFIRM

    神龙速读:
                                            ### 漏洞关键信息

#### 1. 漏洞类型
- **类型**: 反射型跨站脚本攻击(XSS)

#### 2. 影响版本
- **受影响版本**: < 3.6.1
- **修复版本**: 3.6.2

#### 3. 漏洞描述
- **文件**: `html/memorando/insere_despacho.php`
- **参数**: `id_memorando` (GET)
- **问题**: 应用程序未正确清理或编码用户输入,导致攻击者可以注入任意JavaScript或HTML。

#### 4. 影响
- **执行任意JavaScript**: 窃取会话cookie、绕过认证、恶意重定向。
- **执行未授权操作**: 以受害者身份发送HTTP请求。
- **UI Redressing / Defacement**: 攻击者可以完全覆盖应用内容,导致钓鱼攻击或拒绝服务。

#### 5. 修复建议
- **清理输入**: 通过`htmlspecialchars`或`json_encode`清理`$_GET['id_memorando']`后再输出到浏览器。
- **避免直接输出原始PHP变量到JavaScript中**。

#### 6. 严重性
- **CVSS v3 基础评分**: 9.1/10
- **严重程度**: 关键

#### 7. CVE ID
- **CVE-2026-23722**

#### 8. 弱点
- **CWE-79**
    Cross-Site Scripting (XSS) Reflected allows arbitrary code execution and UI redressing. · Advisory · LabRedesCefetRJ/WeGIA · GitHub
  • https://nvd.nist.gov/vuln/detail/CVE-2026-23722
四、漏洞 CVE-2026-23722 的评论

暂无评论

发表评论