Rafaelcorvino1

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores a 3.4.4 Descrição: O WeGIA é um gerenciador web de código aberto projetado para a língua portuguesa e instituições beneficentes. Existe uma vulnerabilidade de Cross-Site Scripting (XSS) Refletido no endpoint da API `/editar permissoes.php`. Atacantes podem injetar scripts maliciosos através do parâmetro `msg c`. Recomendações: Atualize para a versão 3.4.4 ou posterior. Como solução alternativa temporária, evite utilizar o parâmetro `msg c` no endpoint `/editar permissoes.php`.

Nome do Software Vulnerável e Versões Afetadas: Versões do Indico de 2.2 a 3.3.7 Descrição: O Indico é um sistema de gerenciamento de eventos que utiliza o Flask-Multipass, um sistema de autenticação multi-backend para Flask. Um endpoint utilizado para exibir detalhes de usuários listados em determinados campos pode ser usado indevidamente para extrair em massa detalhes básicos do usuário (como nome, afiliação e e-mail). Recomendações: Atualize para a versão 3.3.7 ou posterior. Considere restringir a pesquisa de usuários a gerentes. Restrinja o acesso aos endpoints afetados na configuração do servidor web.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores à 3.4.5 **Descrição** O WeGIA é um gerenciador web de código aberto. Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado existe no endpoint `adicionar cor.php`, permitindo que atacantes injetem scripts maliciosos no parâmetro `cor`. Esses scripts são armazenados no servidor e executados quando a página `cadastro pet.php` é acessada pelos usuários. **Recomendações** Atualize para a versão 3.4.5 ou posterior.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.3.0 Descrição: O servidor WeGIA possui uma vulnerabilidade que permite requisições HTTP GET excessivamente longas para uma URL específica, resultante da falta de validação do comprimento do parâmetro `errorstr`. Este problema ocasiona alto consumo de recursos, latência elevada, timeouts e erros de leitura, tornando o servidor suscetível a ataques de Negação de Serviço (DoS). Recomendações: Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 para corrigir o problema. Como medida de contorno temporária, considere restringir o comprimento das requisições HTTP GET para prevenir o consumo excessivo de recursos.

Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.3.0 Descrição: O servidor WeGIA possui uma vulnerabilidade que permite requisições HTTP GET excessivamente longas para uma URL específica, decorrente da falta de validação do comprimento do parâmetro `fid`. Esse problema pode causar alto consumo de recursos, latência elevada, timeouts e erros de leitura, tornando o servidor suscetível a ataques de Negação de Serviço (DoS). Recomendações: Para versões anteriores à 3.3.0, atualize para a versão 3.3.0 para corrigir a vulnerabilidade e prevenir ataques de Negação de Serviço (DoS). Como solução alternativa temporária, considere restringir o comprimento do parâmetro `fid` em requisições HTTP GET para evitar o consumo excessivo de recursos.

**Name of the Vulnerable Software and Affected Versions** WeGIA versions prior to 3.2.16 **Description** A Denial of Service (DoS) issue exists, allowing any unauthenticated user to cause the server to become unresponsive by performing aggressive spidering. This is caused by recursive crawling of dynamically generated URLs and insufficient handling of large volumes of requests. **Recommendations** For versions prior to 3.2.16, update to version 3.2.16 to resolve the issue.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA até e incluindo a 3.2.10 **Descrição** O WeGIA é um gerenciador Web para instituições beneficentes. Foi identificado um problema de Redirecionamento Aberto (Open Redirect) no endpoint `control.php`, permitindo que o parâmetro `nextPage` seja manipulado e redirecione usuários autenticados para URLs externas arbitrárias sem validação. Este problema decorre da falta de validação do parâmetro `nextPage`, que aceita URLs externas como destinos de redirecionamento. O problema pode ser explorado para realizar ataques de phishing ou redirecionar usuários para sites maliciosos. **Recomendações** Para versões até e incluindo a 3.2.10, atualize para a versão 3.2.11 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint `control.php` ou validar o parâmetro `nextPage` para minimizar o risco de exploração.

**Nome do Software Vulnerável e Versões Afetadas** Versões do WeGIA anteriores a 3.2.6 **Descrição** Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no endpoint `dependente parentesco adicionar.php` da aplicação WeGIA. Esta vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro `descricao`. Os scripts injetados são armazenados no servidor e executados automaticamente sempre que a página afetada é acessada por usuários, representando um risco significativo à segurança. A aplicação falha em validar e sanitizar corretamente as entradas do usuário no parâmetro `dependente parentesco adicionar.php`. Essa falta de validação permite que atacantes injetem scripts maliciosos, que são então armazenados no servidor. Sempre que a página afetada é acessada, a payload maliciosa é executada no navegador da vítima, potencialmente comprometendo os dados e o sistema do usuário. **Recomendações** Para versões do WeGIA anteriores a 3.2.6, atualize para a versão 3.2.6 para corrigir a vulnerabilidade de Cross-Site Scripting (XSS) Armazenado. Como solução alternativa temporária, considere restringir o acesso ao endpoint `dependente parentesco adicionar.php` até que a atualização seja aplicada. Além disso, evite usar o parâmetro `descricao` no endpoint afetado até que o problema seja resolvido.