CVE-2025-23037

Nome do Software Vulnerável e Versões Afetadas Versões do WeGIA anteriores à 3.2.6

Descrição Uma vulnerabilidade de Cross-Site Scripting (XSS) Armazenado foi identificada no endpoint control.php da aplicação WeGIA. Esta vulnerabilidade permite que atacantes injetem scripts maliciosos no parâmetro cargo. Os scripts injetados são armazenados no servidor e executados automaticamente sempre que a página afetada é acessada por usuários, representando um risco significativo à segurança. A aplicação falha em validar e sanitizar adequadamente as entradas do usuário no parâmetro control.php. Esta falta de validação permite que atacantes injetem scripts maliciosos, que são então armazenados no servidor. Sempre que a página afetada é acessada, o payload malicioso é executado no navegador da vítima, potencialmente comprometendo os dados e o sistema do usuário.

Recomendações Para versões anteriores à 3.2.6, atualize para a versão 3.2.6 para resolver o problema. Como medida de contorno temporária, considere restringir o acesso ao endpoint control.php até que a atualização seja aplicada. Adicionalmente, evite usar o parâmetro cargo no endpoint afetado até que o problema seja resolvido.