CRITICAL🇬🇧 English

CVE-2026-28411

WeGIA: Pominięcie uwierzytelnienia przez nadpisanie zmiennych PHP (extract)

CVSS 9.8v3.1pub. 2026-02-27upd. 2026-03-03

Podatność w aplikacji WeGIA umożliwia nieuwierzytelnionemu atakującemu całkowite ominięcie mechanizmów uwierzytelnienia poprzez niebezpieczne użycie funkcji PHP `extract()` na superglobalnej tablicy `$_REQUEST`. Jest to krytyczne zagrożenie, ponieważ pozwala na nieuprawniony dostęp do obszarów administracyjnych aplikacji bez żadnych poświadczeń.

Pokaż oryginał (EN)

WeGIA is a web manager for charitable institutions. Prior to version 3.6.5, an unsafe use of the `extract()` function on the `$_REQUEST` superglobal allows an unauthenticated attacker to overwrite local variables in multiple PHP scripts. This vulnerability can be leveraged to completely bypass authentication checks, allowing unauthorized access to administrative and protected areas of the WeGIA application. Version 3.6.5 fixes the issue.

🤖 Analiza AI
Jak działa

Podatność wynika z niebezpiecznego wywołania funkcji `extract()` na tablicy `$_REQUEST` w wielu skryptach PHP aplikacji WeGIA. Funkcja `extract()` importuje pary klucz-wartość z tablicy jako zmienne lokalne, co pozwala atakującemu na dostarczenie dowolnych parametrów HTTP (GET lub POST) i nadpisanie nimi istniejących zmiennych lokalnych w skrypcie. W ten sposób atakujący może zmodyfikować zmienne odpowiedzialne za kontrolę uprawnień i stan uwierzytelnienia, skutecznie omijając wszelkie mechanizmy weryfikacji tożsamości. Atak nie wymaga żadnego uwierzytelnienia, interakcji użytkownika ani szczególnych warunków sieciowych.

Skutki

Atakujący uzyskuje nieautoryzowany dostęp do paneli administracyjnych i chronionych obszarów aplikacji WeGIA. W konsekwencji możliwe jest ujawnienie, modyfikacja lub usunięcie danych przetwarzanych przez aplikację, co w przypadku systemu zarządzania instytucjami charytatywnymi może oznaczać wyciek wrażliwych danych beneficjentów i darczyńców.

Mitygacja

Należy zaktualizować WeGIA do wersji 3.6.5 lub nowszej, która usuwa podatność. Szczegóły dostępne w oficjalnym komunikacie bezpieczeństwa projektu pod adresem wskazanym w referencjach.

Kogo dotyczy

WeGIA w wersjach wcześniejszych niż 3.6.5

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Wegia

    APP
    Wegia
    < 3.6.5
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2026-33134CRITICAL9.3PL ✓ten sam produkt

SQL Injection w WeGIA — kompromitacja bazy danych przez parametr id_produto

CVE-2026-33136CRITICAL9.3PL ✓ten sam produkt

Reflected XSS w WeGIA — wstrzyknięcie kodu przez parametr sccd

CVE-2026-33135CRITICAL9.3PL ✓ten sam produkt

Reflected XSS w WeGIA — wstrzyknięcie kodu JS przez parametr GET

CVE-2026-31896CRITICAL9.8PL ✓ten sam produkt

SQL Injection w WeGIA – nieautoryzowane wykonanie poleceń SQL

CVE-2026-28408CRITICAL9.8PL ✓ten sam produkt

WeGIA – pominięcie uwierzytelnienia w adicionar_tipo_docs_atendido.php