Marcelomulder

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.5.0 **Descrição** O WeGIA é um Gerenciador Web para Instituições focado em usuários de língua portuguesa. Existe uma falha que permite redirecionamento para domínios externos arbitrários através do parâmetro `nextPage` no endpoint ''control.php'' (metodo=listarTodos nomeClasse=AlmoxarifeControle). Isso pode ser usado para phishing, distribuição de payloads maliciosos ou roubo de credenciais de usuário. **Recomendações** Atualize para a versão 3.5.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA 3.4.12 e anteriores **Descrição** O WeGIA, um gerenciador web para instituições beneficentes, apresenta uma falha de Quebra de Controle de Acesso. O endpoint da API `get relatorios socios.php` permite que atacantes não autenticados acessem diretamente informações pessoais e financeiras sensíveis dos sócios sem autenticação ou autorização. **Recomendações** Atualize para a versão 3.5.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA 3.4.12 e inferiores **Descrição** O WeGIA é um gerenciador web projetado para instituições beneficentes. Existe uma vulnerabilidade de Redirecionamento Aberto no endpoint `control.php`, especificamente através do parâmetro `nextPage` (metodo=listarUmnomeClasse=FuncionarioControle). Isso permite que atacantes redirecionem usuários para domínios externos, potencialmente possibilitando phishing, distribuição de payloads maliciosos ou roubo de credenciais. **Recomendações** Atualize para a versão 3.5.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA 3.4.12 e inferiores **Descrição** O WeGIA é um gerenciador web para instituições beneficentes. Existe uma vulnerabilidade de Injeção de SQL no endpoint `/controle/control.php`, especificamente no parâmetro `descricao`. Isso permite que atacantes executem comandos SQL arbitrários, potencialmente comprometendo a confidencialidade, a integridade e a disponibilidade do banco de dados. **Recomendações** Atualize para a versão 3.5.0 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA 3.4.12 e anteriores **Descrição** O WeGIA é um gerenciador web de código aberto projetado para instituições beneficentes. Existe uma vulnerabilidade de Injeção de SQL no parâmetro `id pet` do endpoint da API '/pet/profile pet.php'. Isso permite que atacantes executem comandos SQL arbitrários, potencialmente comprometendo a confidencialidade, a integridade e a disponibilidade do banco de dados. A vulnerabilidade permite o controle total do banco de dados mesmo com privilégios baixos. **Recomendações** Atualize para a versão 3.5.0 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA 3.4.12 e anteriores **Descrição** O WeGIA, um gerenciador web projetado para instituições beneficentes, está suscetível a uma vulnerabilidade de Falsificação de Solicitação Entre Sites (CSRF). A função de exclusão da entidade Almoxarifado está acessível por meio de uma requisição HTTP GET sem proteção CSRF. Isso permite que um atacante inicie o processo de exclusão utilizando a sessão ativa de uma vítima em um site malicioso. **Recomendações** Atualize para a versão 3.5.0 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.7 Descrição: O WeGIA é um gerenciador Web para instituições beneficentes. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado no endpoint `dependente docdependente.php` da aplicação WeGIA. Esta vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro `nome`. Os scripts injetados são armazenados no servidor e executados automaticamente quando os usuários acessam a página afetada. Recomendações: Atualize o WeGIA para a versão 3.4.7 ou posterior.

**Name of the Vulnerable Software and Affected Versions** WeGIA versions prior to 3.4.6 **Description** WeGIA is an open source web manager. A SQL Injection issue was identified that allows an attacker to manipulate SQL queries and access sensitive database information. The vulnerability exists in the `idatendido familiares` parameter of the `/html/funcionario/dependente editarInfoPessoal.php` endpoint. **Recommendations** Update to version 3.4.6 or later.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.6 **Descrição** O WeGIA é um gerenciador web de código aberto. Foi identificada uma vulnerabilidade de Injeção de SQL que permite a um invasor manipular consultas SQL e acessar informações sensíveis do banco de dados. A vulnerabilidade está presente no parâmetro `idatendido familiares` do endpoint `/html/funcionario/dependente editarEndereco.php`. **Recomendações** Atualize o WeGIA para a versão 3.4.6 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.6 **Descrição** O WeGIA é um gerenciador web de código aberto. Existe uma vulnerabilidade de Injeção de SQL no parâmetro `idatendido familiares` do endpoint `/html/funcionario/dependente editarDoc.php`. Isso permite a manipulação de consultas SQL e potencial acesso a informações sensíveis do banco de dados. **Recomendações** Atualize o WeGIA para a versão 3.4.6 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.6 **Descrição** O WeGIA é um gerenciador web de código aberto. Existe uma vulnerabilidade de Injeção de SQL nas versões anteriores à 3.4.6. Esta vulnerabilidade permite que atacantes executem comandos SQL arbitrários via o endpoint `/html/funcionario/profile dependente.php` através do parâmetro `id dependente`, potencialmente comprometendo a confidencialidade, integridade e disponibilidade do banco de dados. **Recomendações** Atualize para a versão 3.4.6 ou posterior. Como solução temporária, restrinja o acesso ao endpoint `/html/funcionario/profile dependente.php`. Evite usar o parâmetro `id dependente` no endpoint da API afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** O WeGIA é um gerenciador web de código aberto. Existe uma vulnerabilidade de Injeção de SQL devido à manipulação de consultas SQL através do parâmetro `id funcionario` do endpoint `/html/saude/profile paciente.php`, potencialmente permitindo o acesso a informações sensíveis do banco de dados. **Recomendações** Atualize o WeGIA para a versão 3.4.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** Existe uma falha de bypass de autenticação no endpoint da API `/dao/verificar recursos cargo.php` da aplicação WeGIA. Isso permite que usuários não autenticados acessem funcionalidades protegidas e recuperem informações sensíveis ao enviar solicitações HTTP manipuladas sem cookies de sessão válidos ou tokens de autenticação. **Recomendações** Atualize para a versão 3.4.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** O WeGIA é um gerenciador web de código aberto projetado para instituições beneficentes e de língua portuguesa. Existe uma vulnerabilidade de Injeção de SQL no endpoint da API `/controle/control.php`, especificamente através do parâmetro `cargo`. Isso permite que atacantes executem comandos SQL arbitrários, potencialmente comprometendo a confidencialidade, integridade e disponibilidade do banco de dados. **Recomendações** Atualize para a versão 3.4.5 ou posterior do WeGIA.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido no endpoint `personalizacao selecao.php` da aplicação WeGIA. Esta vulnerabilidade permite que atacantes injetem scripts maliciosos através do parâmetro `nome car`. **Recomendações** Atualize o WeGIA para a versão 3.4.5 ou superior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** O WeGIA é um gerenciador web de código aberto. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido no endpoint `personalizacao selecao.php`. Esta vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro `id`. **Recomendações** Atualize para a versão 3.4.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** O WeGIA é um gerenciador web de código aberto. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado no endpoint `adicionar enfermidade.php`. Isso permite que atacantes injetem scripts maliciosos no parâmetro `nome`, que são então armazenados no servidor e executados quando os usuários acessam a página afetada. **Recomendações** Atualize o WeGIA para a versão 3.4.5 ou posterior.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** O WeGIA é um gerenciador web de código aberto projetado para uso em língua portuguesa e instituições beneficentes. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Persistente no endpoint `control.php`. Isso permite que atacantes injetem scripts maliciosos no parâmetro `descricao emergencia`. Estes scripts são armazenados no servidor e executados quando os usuários acessam a página afetada. **Recomendações** Atualize o WeGIA para a versão 3.4.5 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.3 Descrição: Uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido foi identificada no endpoint "cadastro dependente pessoa nova.php" da aplicação WeGIA. Esta vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro `id funcionario`. Recomendações: Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint "cadastro dependente pessoa nova.php" ou evitar o uso do parâmetro `id funcionario` até que a atualização seja aplicada.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.3 Descrição: Foi identificada uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido no endpoint "profile familiar.php" da aplicação WeGIA. Esta vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro `id dependente`. Recomendações: Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao endpoint "profile familiar.php" ou evitar o uso do parâmetro `id dependente` até que a atualização seja aplicada.