一、 漏洞 CVE-2025-22619 基础信息
漏洞标题
WeGIA 反射型跨站脚本漏洞
来源:AIGC 神龙大模型
漏洞描述信息
WeGIA 是一个开源的网页管理器,专注于葡萄牙语和慈善机构。在 WeGIA 应用程序的 `editar_permissoes.php` 接口中发现了一个反射型跨站脚本(XSS)漏洞。该漏洞允许攻击者在 `msg_c` 参数中注入恶意脚本。应用程序未能对 `msg_c` 参数中的用户输入进行验证和清理。这种验证缺失允许恶意载荷的注入,这些载荷会在服务器响应中反射回用户浏览器并被执行。此问题已在版本 3.2.6 中得到解决。建议所有用户进行升级。目前没有已知的解决方法。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N
来源:AIGC 神龙大模型
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:AIGC 神龙大模型
漏洞标题
WeGIA Cross-Site Scripting (XSS) Reflected endpoint 'editar_permissoes.php' parameter 'msg_c'
来源:美国国家漏洞数据库 NVD
漏洞描述信息
WeGIA is an open source web manager with a focus on the Portuguese language and charitable institutions. A Reflected Cross-Site Scripting (XSS) vulnerability was identified in the `editar_permissoes.php` endpoint of the WeGIA application. This vulnerability allows attackers to inject malicious scripts in the `msg_c` parameter. The application fails to validate and sanitize user inputs in the `msg_c` parameter. This lack of validation permits the injection of malicious payloads, which are reflected back to the user's browser in the server's response and executed within the context of the victim's browser. This issue has been addressed in release version 3.2.6. All users are advised to upgrade. There are no known workarounds for this vulnerability.
来源:美国国家漏洞数据库 NVD
CVSS信息
N/A
来源:美国国家漏洞数据库 NVD
漏洞类别
在Web页面生成时对输入的转义处理不恰当(跨站脚本)
来源:美国国家漏洞数据库 NVD
漏洞标题
WeGIA 跨站脚本漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
WeGIA是Nilson Lazarin个人开发者的一个福利机构的网络管理器。 WeGIA存在跨站脚本漏洞,该漏洞源于editar_permissoes.php文件的msg_c参数中包含一个反射型跨站脚本漏洞。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
跨站脚本
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2025-22619 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2025-22619 的情报信息