CVE-2026-35399WeGIA是一个用于慈善机构的Web管理器。在3.6.9之前的版本中,系统存在一个存储型跨站脚本(XSS)漏洞。攻击者能够通过上传备份文件时注入恶意的脚本代码到文件名中。一旦管理员或用户访问包含该文件名的页面,恶意脚本将在其浏览器中执行。这可能导致攻击者窃取会话凭证、篡改数据或执行未授权操作。该问题已在3.6.9版本中修复。
该漏洞源于WeGIA在处理备份文件上传功能时,未对“文件名”参数进行充分的输入验证和输出编码。攻击者无需身份认证(PR:N)即可利用此漏洞。攻击者通过构造包含JavaScript代码的特制文件名(例如<script>alert(1)</script>.zip)上传备份文件。服务器将此恶意文件名存储在数据库中。由于存在反射或存储上下文,当其他用户浏览备份列表时,服务器直接返回未经转义的文件名,导致浏览器将其解析为HTML/JavaScript代码执行。CVSS 3.1评分为6.1,虽然需要用户交互(UI:R)触发,但利用难度低(AC:L)且影响范围广(S:C),可危及机密性和完整性。