BDU:2025-09399

Опубликовано: 13 июл. 2025

Источник: fstec

CVSS3: 9.9

CVSS2: 9

EPSS Низкий

Описание

Уязвимость сценария /html/saude/profile_paciente.php веб-менеджера WeGIA связана с непринятием мер по защите структуры запроса SQL при обработке параметра id_funcionario. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть конфиденциальную информацию

Вендор

LabRedesCefetRJ

Наименование ПО

WeGIA

Версия ПО

до 3.4.5 (WeGIA)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/LabRedesCefetRJ/WeGIA/releases/tag/3.4.5

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-53946
CVE

EPSS

Процентиль: 7%

0.00032

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-53946

CVSS3: 8.8

nvd

около 1 месяца назад

WeGIA is an open source web manager with a focus on the Portuguese language and charitable institutions. A SQL Injection vulnerability was identified in versions prior to 3.4.5 in the `id_funcionario` parameter of the `/html/saude/profile_paciente.php` endpoint. This vulnerability allows attacker to manipulate SQL queries and access sensitive database information, such as table names and sensitive data. Version 3.4.5 fixes the issue.