Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en WeGIA (CVE-2025-54079)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-89 Neutralización incorrecta de elementos especiales usados en un comando SQL (Inyección SQL)
Fecha de publicación:
18/07/2025
Última modificación:
22/07/2025

Descripción

WeGIA es un gestor web de código abierto centrado en el idioma portugués y las instituciones benéficas. Se identificó una vulnerabilidad de inyección SQL en versiones anteriores a la 3.4.6 en el endpoint `/html/atendido/Profile_Atendido.php`, en el parámetro `idatendido`. Esta vulnerabilidad permite a un atacante autorizado ejecutar consultas SQL arbitrarias, lo que permite el acceso a información confidencial. La versión 3.4.6 corrige el problema.