Pedro-Lyrio

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.3 Descrição: Foi identificada uma vulnerabilidade de Injeção de Cross-Site Scripting (XSS) no WeGIA, um gerenciador web para instituições de caridade. A vulnerabilidade está localizada no arquivo `novo memorando.php`. Quando um memorando é submetido, o script injetado é executado no navegador ao carregar a página `listar memorandos antigos.php`. Recomendações: Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 para resolver o problema. Como medida temporária, considere restringir o acesso às páginas `novo memorando.php` e `listar memorandos antigos.php` até que a atualização seja aplicada.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.4.3 Descrição: Um problema crítico foi identificado no WeGIA, um gerenciador web para instituições beneficentes. O endpoint `/html/funcionario/profile funcionario.php` é vulnerável devido ao parâmetro `id funcionario` não ser devidamente sanitizado ou validado antes de ser usado em uma consulta SQL. Isso permite que um atacante não autenticado injete comandos SQL arbitrários. Recomendações: Para versões anteriores à 3.4.3, atualize para a versão 3.4.3 para resolver o problema. Como medida temporária, considere restringir o acesso ao endpoint `/html/funcionario/profile funcionario.php` até que a atualização seja aplicada. Além disso, evite usar o parâmetro `id funcionario` no endpoint afetado até que o problema seja resolvido.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.2 **Descrição** O problema está relacionado a uma falha de Injeção de Comando no Sistema Operacional (OS Command Injection) no endpoint "/html/configuracao/debug info.php". O parâmetro `branch` não é devidamente sanitizado antes de ser concatenado e executado em um comando de shell no sistema operacional do servidor. Isso permite que um atacante não autenticado execute comandos arbitrários no servidor com os privilégios do usuário do servidor web. **Recomendações** Para versões anteriores à 3.4.2, atualize para a versão 3.4.2 para resolver o problema. Como medida temporária (workaround), considere restringir o acesso ao endpoint "/html/configuracao/debug info.php" para minimizar o risco de exploração. Evite usar o parâmetro `branch` no endpoint afetado até que o problema seja resolvido.