PT-2025-20285 · Wegia · Wegia

Gabrielpintosouza

Publicado

2025-05-07

Atualizado

2025-07-02

CVE-2025-46828

CVSS v4.0

Crítica

Vetor

AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H

Nome do Software Vulnerável e Versões Afetadas Versões do WeGIA até e incluindo a 3.3.0

Descrição Foi identificada uma vulnerabilidade de Injeção de SQL não autenticada no endpoint "/html/socio/sistema/get socios.php", especificamente no parâmetro de consulta. Isso permite que atacantes injetem e executem comandos SQL arbitrários contra o banco de dados subjacente da aplicação, potencialmente levando à exfiltração de dados, bypass de autenticação ou comprometimento completo do banco de dados.

Recomendações Para versões até e incluindo a 3.3.0, atualize para a versão 3.3.1 para corrigir o problema. Como medida temporária, considere restringir o acesso ao endpoint vulnerável "/html/socio/sistema/get socios.php" até que a atualização seja aplicada.

Exploit

Correção

SQL injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-89

Identificadores relacionados

CVE-2025-46828

GHSA-5QW5-Q55H-6QG7

Produtos afetados

Wegia

PT-2025-20285 · Wegia · Wegia

CVE-2025-46828

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 13