CVE-2026-23725CVE-2026-23725是WeGIA慈善机构Web管理器中存在的一个存储型跨站脚本(Stored Cross-Site Scripting)漏洞。该漏洞影响3.6.2之前的版本,存在于html/pet/adotantes/cadastro_adotante.php和html/pet/adotantes/informacao_adotantes.php两个端点中。攻击者可以通过在收养者信息注册表单中注入恶意JavaScript代码,由于应用程序未对用户输入进行充分的消毒处理,导致恶意载荷被永久存储在服务器端。当任何用户访问信息展示页面时,注入的JavaScript代码会自动执行,可能导致会话劫持、敏感信息窃取、钓鱼攻击等严重后果。此漏洞无需高权限即可实施攻击,但需要诱导用户访问恶意页面或触发特定操作。
漏洞存在于WeGIA应用的收养者信息管理模块中。具体来说,在cadastro_adotante.php页面进行收养者信息注册时,应用程序直接将用户提交的输入字段(如姓名、联系方式等)存储到数据库,而未对特殊字符进行HTML转义或过滤。当informacao_adotantes.php页面渲染这些数据时,未经过滤的内容直接插入到HTML响应中,形成存储型XSS攻击向量。攻击者可以利用标准XSS payload如<script>alert(document.cookie)</script>或<img src=x onerror=...>等实现JavaScript代码执行。由于存储型XSS的持久性特点,恶意代码会在所有访问该页面的用户浏览器中自动执行,无需每次攻击都重新注入。攻击者可能利用此漏洞窃取用户会话Cookie、劫持用户账户、篡改页面内容或进行进一步的内网渗透。