CVE-2026-31896

  1. OpenCVE
  2. Vulnerabilities (CVE)
  3. CVE-2026-31896
WeGIA is a web manager for charitable institutions. Prior to version 3.6.6, a critical SQL injection vulnerability exists in the WeGIA application. The remover_produto_ocultar.php script uses extract($_REQUEST) to populate local variables and then directly concatenates these variables into a SQL query executed via PDO::query. This allows an authenticated (or auth-bypassed) attacker to execute arbitrary SQL commands. This can be used to exfiltrate sensitive data from the database or, as demonstrated in this PoC, cause a time-based delay (denial of service). This vulnerability is fixed in 3.6.6.

9.8 /10

CVSS v3 : CRITICAL

V3 Legend

Vector :

Exploitability : 3.9 / Impact : 5.9

Attack Vector NETWORK

Attack Complexity LOW

Privileges Required NONE

User Interaction NONE

Confidentiality Impact HIGH

Integrity Impact HIGH

Availability Impact HIGH

Scope UNCHANGED

References
Link Resource
https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-w7g3-87cr-8m83 Exploit Vendor Advisory
Configurations

Configuration 1 (hide)

cpe:2.3:a:wegia:wegia:*:*:*:*:*:*:*:*
History

13 Mar 2026, 20:05

Type Values Removed Values Added
First Time Wegia wegia
Wegia
References () https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-w7g3-87cr-8m83 - () https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-w7g3-87cr-8m83 - Exploit, Vendor Advisory
Summary
  • (es) WeGIA es un gestor web para instituciones benéficas. Antes de la versión 3.6.6, existe una vulnerabilidad crítica de inyección SQL en la aplicación WeGIA. El script remover_produto_ocultar.php utiliza extract($_REQUEST) para poblar variables locales y luego concatena directamente estas variables en una consulta SQL ejecutada a través de PDO::query. Esto permite a un atacante autenticado (o con autenticación eludida) ejecutar comandos SQL arbitrarios. Esto puede usarse para exfiltrar datos sensibles de la base de datos o, como se demuestra en esta PoC, causar un retardo basado en el tiempo (denegación de servicio). Esta vulnerabilidad está corregida en la 3.6.6.
CPE cpe:2.3:a:wegia:wegia:*:*:*:*:*:*:*:*

11 Mar 2026, 20:16

Type Values Removed Values Added
New CVE
Information

Published : 2026-03-11 20:16

Updated : 2026-03-13 20:05

NVD link : CVE-2026-31896

Mitre link : CVE-2026-31896

CVE.ORG link : CVE-2026-31896

JSON object : View

Products Affected

wegia

  • wegia
CWE
CWE-89

Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')