一、 漏洞 CVE-2025-22133 基础信息
漏洞标题
WeGIA 允许任意文件上传导致远程代码执行(RCE)
来源:AIGC 神龙大模型
漏洞描述信息
WeGIA 是一款面向慈善机构的 web 管理工具。在 3.2.8 版本之前,发现 /WeGIA/html/socio/sistema/controller/controla_xlsx.php 接口中存在一个关键漏洞。该接口接受文件上传,但未进行适当验证,允许上传恶意文件(如 .phar 文件),这些文件随后可被服务器执行。此漏洞在 3.2.8 版本中得到了修复。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
危险类型文件的不加限制上传
来源:AIGC 神龙大模型
漏洞标题
WeGIA Allows Arbitrary File Upload with Remote Code Execution (RCE)
来源:美国国家漏洞数据库 NVD
漏洞描述信息
WeGIA is a web manager for charitable institutions. Prior to 3.2.8, a critical vulnerability was identified in the /WeGIA/html/socio/sistema/controller/controla_xlsx.php endpoint. The endpoint accepts file uploads without proper validation, allowing the upload of malicious files, such as .phar, which can then be executed by the server. This vulnerability is fixed in 3.2.8.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
对生成代码的控制不恰当(代码注入)
来源:美国国家漏洞数据库 NVD
漏洞标题
WeGIA 代码问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WeGIA是Nilson Lazarin个人开发者的一个福利机构的网络管理器。 WeGIA 3.2.6之前版本存在代码问题漏洞,该漏洞源于/WeGIA/html/socio/sistema/controller/controla_xlsx.php端点在接受文件上传时缺乏适当的验证,允许上传如.phar等恶意文件并在服务器上执行。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
代码问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-22133 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-22133 的情报信息