BDU:2025-09405

Опубликовано: 17 июл. 2025

Источник: fstec

CVSS3: 9.9

CVSS2: 9

EPSS Низкий

Описание

Уязвимость сценария /html/funcionario/profile_dependente.php веб-менеджера WeGIA связана с непринятием мер по защите структуры запроса SQL при обработке параметра id_dependente. Эксплуатация уязвимости может позволить нарушителю, действующему удалённо, раскрыть конфиденциальную информацию, повысить свои привилегии или выполнить произвольный код

Вендор

LabRedesCefetRJ

Наименование ПО

WeGIA

Версия ПО

до 3.4.6 (WeGIA)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

Уровень опасности уязвимости

Высокий уровень опасности (базовая оценка CVSS 2.0 составляет 9)

Критический уровень опасности (базовая оценка CVSS 3.1 составляет 9,9)

Критический уровень опасности (оценка CVSS 4.0 составляет 9,4)

Возможные меры по устранению уязвимости

Использование рекомендаций:

https://github.com/LabRedesCefetRJ/WeGIA/releases/tag/3.4.6

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2025-54062
CVE

EPSS

Процентиль: 7%

0.00032

Низкий

9.9 Critical

CVSS3

9 Critical

CVSS2

Связанные уязвимости

CVE-2025-54062

CVSS3: 8.8

nvd

около 1 месяца назад

WeGIA is an open source web manager with a focus on the Portuguese language and charitable institutions. A SQL Injection vulnerability was identified in versions prior to 3.4.6 in the `/html/funcionario/profile_dependente.php` endpoint, specifically in the `id_dependente` parameter. This vulnerability allows attackers to execute arbitrary SQL commands, compromising the confidentiality, integrity, and availability of the database. Version 3.4.6 fixes the issue.