CVE-2026-33135WeGIA是一个用于慈善机构的Web管理器,其3.6.6及以下版本在`novo_memorandoo.php`端点存在反射型跨站脚本(XSS)漏洞。由于未对用户输入进行适当的清理,攻击者可以通过构造恶意的`sccs` GET参数注入任意JavaScript代码。当受害者访问包含该参数的链接时,恶意脚本会被直接输出到HTML响应中并在浏览器端执行,从而导致会话劫持或敏感信息泄露。该问题已在3.6.7版本中修复。
该漏洞位于WeGIA的`/html/memorando/novo_memorandoo.php`文件中。在代码逻辑中,脚本通过读取HTTP GET参数来向用户显示动态消息。具体而言,在代码的第273行附近,程序首先检查`$_GET['msg']`参数的值是否等于字符串'success'。如果条件成立,程序会直接获取`$_GET['sccs']`参数的值,并将其未经任何安全过滤或HTML实体编码处理,直接拼接(concatenate)到一个HTML的`<div>`警告框中,随后输出至浏览器。这种缺乏输出转义的处理方式使得攻击者能够注入任意JavaScript代码,利用反射型XSS攻击在受害者的浏览器上下文中执行恶意操作。