Gabrielpintosouza

**Name of the Vulnerable Software and Affected Versions** WeGIA versions prior to 3.6.5 **Description** WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, the `adicionar tipo docs atendido.php` script does not utilize the project’s central controller and lacks appropriate authentication and permission checks. This allows a malicious user to access features intended for employees by making requests through tools like Postman or directly via the file’s URL. The issue enables external parties to inject unauthorized data into the application server’s storage. The `adicionar tipo docs atendido.php` script is directly accessible, bypassing normal security measures. **Recommendations** Versions prior to 3.6.5: Update to version 3.6.5 or later to resolve the authentication bypass and data injection issue.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.5.0 **Descrição** O WeGIA, um gerenciador Web para instituições beneficentes, contém uma falha de Injeção de SQL. O problema afeta o endpoint `control.php`, especificamente através do parâmetro `id produto`. A exploração pode ocorrer via comandos maliciosos injetados no parâmetro `id produto`. O problema foi corrigido na versão 3.5.0 por meio da implementação de prepared statements, sanitização e validação do parâmetro `id produto`. **Recomendações** Atualize para a versão 3.5.0 ou superior. Aplique métodos de prepared statements ao parâmetro `id produto`. Implemente sanitização e validação no parâmetro `id produto`.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA até e incluindo a 3.3.0 **Descrição** Foi identificada uma vulnerabilidade de Injeção de SQL não autenticada no endpoint "/html/socio/sistema/get socios.php", especificamente no parâmetro de consulta. Isso permite que atacantes injetem e executem comandos SQL arbitrários contra o banco de dados subjacente da aplicação, potencialmente levando à exfiltração de dados, bypass de autenticação ou comprometimento completo do banco de dados. **Recomendações** Para versões até e incluindo a 3.3.0, atualize para a versão 3.3.1 para corrigir o problema. Como medida temporária, considere restringir o acesso ao endpoint vulnerável "/html/socio/sistema/get socios.php" até que a atualização seja aplicada.