Featured image of post CVE-2025-53938
Controle De Acesso Quebrado Moderado WeGia Securança WebApp

CVE-2025-53938

Controle de Acesso Quebrado

CVE-2025-53938: Bypass de Autenticação devido à Ausência de Validação de Sessão em Múltiplos Endpoints

Publicação CVE: https://www.cve.org/CVERecord?id=CVE-2025-53938

Resumo

Uma vulnerabilidade de Bypass de Autenticação foi identificado no endpoint /dao/verificar_recursos_cargo.php da aplicação WeGia. Esta vulnerabilidade permite que usuários não autenticados acessem funcionalidades protegidas do aplicativo e recuperem informações confidenciais enviando solicitações HTTP criadas sem cookies de sessão ou tokens de autenticação.

Detalhes

Endpoints Vulneráveis:

  • /dao/verificar_recursos_cargo.php
  • /dao/exibir_cargo.php
  • /dao/verificar_modulos_visiveis.php
  • /dao/exibir_documento.php
  • /dao/adicionar_documento.php

Autenticação Necessária:

  • ❌ Não

PoC

Impacto

A falta de validação de sessão neste endpoint pode levar a vários riscos de segurança:

  • Exposição de Dados Não Autorizada: Usuários não autenticados podem enumerar ou recuperar dados internos confidenciais.
  • Escalonamento de Privilégios: Invasores podem acessar ou inferir informações destinadas apenas a usuários autorizados.
  • Divulgação de Informações: Lógica de negócios e IDs internos (como funções ou permissões de usuário) podem ser vazados.
  • Suporte de Reconhecimento: Facilita o mapeamento de estruturas de backend para ataques mais direcionados.

Referência

https://github.com/LabRedesCefetRJ/WeGIA/security/advisories/GHSA-6p76-7mm4-j5rj

Encontrado por:

Marcelo Queiroz

Colaborador

Natan Maia Morette

Por: CVE-Hunters

© 2020 - 2025 CVE-Hunters
Built with Hugo
Theme Stack designed by Jimmy