Ducluongtran9121

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.11 Descrição: O WeGIA é um gerenciador Web para instituições beneficentes. Existe uma falha de upload arbitrário de arquivos devido à validação insuficiente do tipo de arquivo. A aplicação verifica apenas os tipos MIME para arquivos Excel no endpoint `/html/socio/sistema/controller/controla xlsx.php`, o que pode ser contornado utilizando os bytes mágicos de arquivos Excel dentro de um arquivo PHP. Isso permite que um atacante faça upload de um webshell para o servidor, resultando em execução remota de código. Recomendações: Atualize para a versão 3.4.11 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.10 Descrição: O WeGIA é um gerenciador Web para instituições beneficentes. Existe uma vulnerabilidade de Injeção de SQL no endpoint `/html/funcionario/dependente remover.php`, especificamente no parâmetro `id funcionario`. Isso permite que atacantes executem comandos SQL arbitrários, comprometendo potencialmente a confidencialidade, integridade e disponibilidade do banco de dados. Recomendações: Atualize o WeGIA para a versão 3.4.10 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.8 Descrição: O WeGIA é um gerenciador web de código aberto projetado para a língua portuguesa e instituições beneficentes. Existe uma vulnerabilidade de Injeção de SQL no endpoint da API `/html/funcionario/dependente remover.php`, afetando especificamente o parâmetro `id dependente`. A exploração bem-sucedida permite que atacantes executem comandos SQL arbitrários, comprometendo potencialmente a confidencialidade, a integridade e a disponibilidade do banco de dados. Recomendações: Atualize o WeGIA para a versão 3.4.8 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.8 Descrição: O WeGIA é um gerenciador web de código aberto focado na língua portuguesa e em instituições beneficentes. Existe uma vulnerabilidade de Injeção de SQL no endpoint da API `/html/saude/aplicar medicamento.php`, especificamente no parâmetro `id fichamedica`. Isso permite que atacantes executem comandos SQL arbitrários, potencialmente comprometendo a confidencialidade, a integridade e a disponibilidade do banco de dados. Recomendações: Atualize para a versão 3.4.8 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.8 Descrição: O WeGIA é um gerenciador web focado na língua portuguesa e em instituições de caridade. Existe uma vulnerabilidade de path traversal no endpoint `html/socio/sistema/download remessa.php`. Isso pode permitir que um atacante obtenha acesso não autorizado a arquivos locais no servidor e a informações sensíveis armazenadas no `config.php`, que contém informações que poderiam permitir acesso direto ao banco de dados. Recomendações: Atualize para a versão 3.4.8 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.8 Descrição: O WeGIA é um gerenciador web com foco na língua portuguesa e instituições beneficentes. Existe uma vulnerabilidade de cross-site scripting (XSS) refletido no endpoint da API `/html/alterar senha.php`. Atacantes podem injetar scripts maliciosos através dos parâmetros `verificacao` e `redir config`. Recomendações: Atualize para a versão 3.4.8 ou superior.