PT-2025-7212 · Wegia · Wegia

Chan-Woong

+1

·

Publicado

2025-02-18

·

Atualizado

2025-05-04

·

CVE-2025-26613

CVSS v4.0

10

Crítica

VetorAV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H
Nome do Software Vulnerável e Versões Afetadas: Versões do WeGIA anteriores à 3.2.14
Descrição: O WeGIA é um Gerenciador Web de Código Aberto para Instituições com foco em usuários de língua portuguesa. Uma vulnerabilidade de Injeção de Comando do Sistema Operacional foi descoberta na aplicação WeGIA, no endpoint gerenciar backup.php. Esta vulnerabilidade poderia permitir que um atacante executasse código arbitrário remotamente.
Recomendações: Para versões anteriores à 3.2.14, atualize para a versão 3.2.14 para resolver o problema. Como solução temporária, considere restringir o acesso ao endpoint gerenciar backup.php até que a atualização seja aplicada. Não há soluções alternativas conhecidas para esta vulnerabilidade.

Exploit

Correção

RCE

Improper Access Control

OS Command Injection

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-284CWE-78

Identificadores relacionados

CVE-2025-26613
GHSA-G3W6-M6W8-P6R2

Produtos afetados

Wegia