BDU:2025-09324

Опубликовано: 18 июн. 2025

Источник: fstec

CVSS3: 9.8

CVSS2: 10

EPSS Средний

Описание

Уязвимость веб-менеджера для благотворительных организаций WeGIA существует из-за непринятия мер по нейтрализации специальных элементов при обработке параметра branch. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, выполнять произвольные команды с привилегиями пользователя веб-сервера (www-data)

Вендор

LabRedesCefetRJ

Наименование ПО

WeGIA

Версия ПО

до 3.4.2 (WeGIA)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,8)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/LabRedesCefetRJ/WeGIA/releases/tag/3.4.2

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-50201
CVE

EPSS

Процентиль: 98%

0.54087

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

CVE-2025-50201

CVSS3: 9.8

nvd

8 месяцев назад

WeGIA is a web manager for charitable institutions. Prior to version 3.4.2, an OS Command Injection vulnerability was identified in the /html/configuracao/debug_info.php endpoint. The branch parameter is not properly sanitized before being concatenated and executed in a shell command on the server's operating system. This flaw allows an unauthenticated attacker to execute arbitrary commands on the server with the privileges of the web server user (www-data). This issue has been patched in version 3.4.2.

EPSS

Процентиль: 98%

0.54087

Средний

9.8 Critical

CVSS3

10 Critical

CVSS2