Op 16 juli 2025 werd een beveiligingslek CVE-2025-53933 gepubliceerd dat WeGIA voor versie 3.4.5 kwetsbaar maakt voor Stored Cross-Site Scripting (XSS). Deze fout treft het endpoint adicionar_enfermidade.php via de parameter nome. Kwaadwillenden kunnen schadelijke scripts injecteren die op de server worden opgeslagen en uitgevoerd zodra gebruikers de getroffen pagina bezoeken.
Overzicht
WeGIA, een open source webmanager gericht op Portugeestalige en liefdadigheidsinstellingen, heeft een beveiligingsrisico waarbij scripts ongemerkt kunnen worden ingesloten in de software. Deze kwetsbaarheid in de nome parameter maakt het mogelijk voor een aanvaller om controle te krijgen over gebruikersinteracties, zonder dat er specifieke gebruikersrechten nodig zijn.
Aanbevelingen
- Bijwerken naar WeGIA versie 3.4.5 of nieuwer om deze kwetsbaarheid te verhelpen.
- Controleer regelmatig op updates van de software en zorg voor verdere hardening van de webapplicatie.
Bronnen
Vraag en Antwoord
Wat is CVE-2025-53933?
Dit is een unieke identifier voor een kwetsbaarheid ontdekt in WeGIA die het opslaan van schadelijke scripts via XSS mogelijk maakt.
Welke systemen zijn kwetsbaar voor CVE-2025-53933?
Systemen met de WeGIA software versie lager dan 3.4.5 zijn vatbaar voor deze kwetsbaarheid.
Bestaat er al een patch of beveiligingsupdate?
Ja, versie 3.4.5 van WeGIA biedt een oplossing voor deze kwetsbaarheid.
Wat kan een aanvaller met deze kwetsbaarheid?
Een aanvaller kan schadelijke scripts in de applicatie opslaan die worden uitgevoerd bij pagina-bezoeken door legitieme gebruikers, wat kan leiden tot diefstal van gegevens of andere schadelijke acties.
