Vulnerability Details CVE-2026-31896
WeGIA is a web manager for charitable institutions. Prior to version 3.6.6, a critical SQL injection vulnerability exists in the WeGIA application. The remover_produto_ocultar.php script uses extract($_REQUEST) to populate local variables and then directly concatenates these variables into a SQL query executed via PDO::query. This allows an authenticated (or auth-bypassed) attacker to execute arbitrary SQL commands. This can be used to exfiltrate sensitive data from the database or, as demonstrated in this PoC, cause a time-based delay (denial of service). This vulnerability is fixed in 3.6.6.
Exploit prediction scoring system (EPSS) score
EPSS Score 0.0
EPSS Ranking 7.8%
CVSS Severity
CVSS v3 Score 9.8
Products affected by CVE-2026-31896
-
cpe:2.3:a:wegia:wegia:0.9.4
-
cpe:2.3:a:wegia:wegia:1.0
-
cpe:2.3:a:wegia:wegia:2.0
-
cpe:2.3:a:wegia:wegia:3.0
-
cpe:2.3:a:wegia:wegia:3.1
-
cpe:2.3:a:wegia:wegia:3.2.0
-
cpe:2.3:a:wegia:wegia:3.2.10
-
cpe:2.3:a:wegia:wegia:3.2.11
-
cpe:2.3:a:wegia:wegia:3.2.12
-
cpe:2.3:a:wegia:wegia:3.2.13
-
cpe:2.3:a:wegia:wegia:3.2.14
-
cpe:2.3:a:wegia:wegia:3.2.15
-
cpe:2.3:a:wegia:wegia:3.2.16
-
cpe:2.3:a:wegia:wegia:3.2.17
-
cpe:2.3:a:wegia:wegia:3.2.6
-
cpe:2.3:a:wegia:wegia:3.2.7
-
cpe:2.3:a:wegia:wegia:3.2.8
-
cpe:2.3:a:wegia:wegia:3.2.9
-
cpe:2.3:a:wegia:wegia:3.3.0
-
cpe:2.3:a:wegia:wegia:3.3.1
-
cpe:2.3:a:wegia:wegia:3.3.2
-
cpe:2.3:a:wegia:wegia:3.3.3
-
cpe:2.3:a:wegia:wegia:3.4.0
-
cpe:2.3:a:wegia:wegia:3.4.1
-
cpe:2.3:a:wegia:wegia:3.4.10
-
cpe:2.3:a:wegia:wegia:3.4.11
-
cpe:2.3:a:wegia:wegia:3.4.12
-
cpe:2.3:a:wegia:wegia:3.4.2
-
cpe:2.3:a:wegia:wegia:3.4.3
-
cpe:2.3:a:wegia:wegia:3.4.4
-
cpe:2.3:a:wegia:wegia:3.4.5
-
cpe:2.3:a:wegia:wegia:3.4.6
-
cpe:2.3:a:wegia:wegia:3.4.7
-
cpe:2.3:a:wegia:wegia:3.4.8
-
cpe:2.3:a:wegia:wegia:3.4.9
-
cpe:2.3:a:wegia:wegia:3.5.0
-
cpe:2.3:a:wegia:wegia:3.5.1
-
cpe:2.3:a:wegia:wegia:3.5.2
-
cpe:2.3:a:wegia:wegia:3.5.3
-
cpe:2.3:a:wegia:wegia:3.5.4
-
cpe:2.3:a:wegia:wegia:3.5.5