Diese Seite wurde noch nicht in Ihre Sprache übersetzt. Inhalte werden auf Englisch angezeigt, während wir daran arbeiten.
💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.
CVE-2026-39428: XSS in CubeCart 6.0.0 - 6.6.0
Plattform
php
Komponente
cubecart
Behoben in
6.6.0
A Stored Cross-Site Scripting (XSS) vulnerability has been identified in CubeCart versions 6.0.0 through 6.5.9. This vulnerability allows an attacker with administrative privileges to inject malicious JavaScript payloads into various product fields. These payloads are then stored in the database and executed when users, including other administrators, view the affected product pages, potentially leading to session hijacking or unauthorized actions. The vulnerability is resolved in CubeCart version 6.6.0.
Auswirkungen und Angriffsszenarienwird übersetzt…
Successful exploitation of CVE-2026-39428 allows an attacker to inject arbitrary JavaScript code into CubeCart product pages. This code executes in the context of the user viewing the page, enabling the attacker to steal session cookies, redirect users to malicious websites, or perform actions on behalf of the user, including modifying product information or accessing sensitive data. The impact is particularly severe for administrators, as an attacker could gain full control over the CubeCart installation. This vulnerability shares similarities with other XSS vulnerabilities where user input is not properly sanitized before being stored and displayed, potentially leading to account takeover and data breaches.
Ausnutzungskontextwird übersetzt…
CVE-2026-39428 was published on May 13, 2026. Its severity is rated as Medium. No public proof-of-concept (POC) code has been publicly released at the time of writing. There are no indications of active exploitation campaigns targeting this vulnerability. This CVE is not currently listed on the CISA Known Exploited Vulnerabilities (KEV) catalog.
Bedrohungsanalyse
Exploit-Status
CISA SSVC
CVSS-Vektor
Was bedeuten diese Metriken?
- Attack Vector
- Netzwerk — aus der Ferne über das Internet ausnutzbar. Kein physischer oder lokaler Zugriff erforderlich.
- Attack Complexity
- Niedrig — keine besonderen Bedingungen erforderlich. Zuverlässig ausnutzbar.
- Privileges Required
- Hoch — Administrator- oder Privilegienkonto erforderlich.
- User Interaction
- Erforderlich — Opfer muss eine Datei öffnen, auf einen Link klicken oder eine Seite besuchen.
- Scope
- Geändert — Angriff kann über die anfällige Komponente hinaus auf andere Systeme übergreifen.
- Confidentiality
- Niedrig — partieller oder indirekter Zugriff auf einige Daten.
- Integrity
- Niedrig — Angreifer kann einige Daten mit begrenztem Umfang ändern.
- Availability
- Keine — kein Verfügbarkeitseinfluss.
Betroffene Software
Schwachstellen-Klassifikation (CWE)
Zeitleiste
- Reserviert
- Veröffentlicht
- Geändert
Mitigation und Workaroundswird übersetzt…
The primary mitigation for CVE-2026-39428 is to upgrade CubeCart to version 6.6.0 or later, which contains the fix. If immediate upgrading is not possible, consider implementing stricter input validation and output encoding on all user-supplied data within CubeCart. While not a complete solution, a Web Application Firewall (WAF) configured to detect and block XSS payloads targeting product fields can provide an additional layer of defense. Regularly review and audit CubeCart configurations to ensure best practices are followed.
So behebenwird übersetzt…
Actualice CubeCart a la versión 6.6.0 o posterior para mitigar la vulnerabilidad de XSS. Esta actualización corrige la forma en que se almacenan y procesan los datos de los productos, evitando la inyección de código malicioso. Asegúrese de realizar una copia de seguridad de su base de datos antes de actualizar.
Häufig gestellte Fragenwird übersetzt…
What is CVE-2026-39428 — XSS in CubeCart?
CVE-2026-39428 is a Stored Cross-Site Scripting (XSS) vulnerability affecting CubeCart versions 6.0.0 through 6.5.9. It allows attackers with admin privileges to inject malicious JavaScript into product pages.
Am I affected by CVE-2026-39428 in CubeCart?
You are affected if you are running CubeCart version 6.0.0 through 6.5.9 and have not yet upgraded to version 6.6.0 or later. Check your CubeCart version to determine your exposure.
How do I fix CVE-2026-39428 in CubeCart?
The recommended fix is to upgrade CubeCart to version 6.6.0 or later. This version includes a patch that addresses the XSS vulnerability.
Is CVE-2026-39428 being actively exploited?
There are currently no indications of active exploitation campaigns targeting CVE-2026-39428, but it's crucial to apply the patch to prevent potential future attacks.
Where can I find the official CubeCart advisory for CVE-2026-39428?
Refer to the official CubeCart security advisory for detailed information and updates regarding CVE-2026-39428: [https://www.cubecart.com/security/](https://www.cubecart.com/security/)
Ist dein Projekt betroffen?
Lade deine Abhängigkeitsdatei hoch und erfahre sofort, ob dich diese und andere CVEs treffen.
Jetzt testen — kein Konto
Laden Sie ein Manifest hoch (composer.lock, package-lock.json, WordPress Plugin-Liste…) oder fügen Sie Ihre Komponentenliste ein. Sie erhalten sofort einen Schwachstellenbericht. Das Hochladen einer Datei ist nur der Anfang: Mit einem Konto erhalten Sie kontinuierliche Überwachung, Slack/email-Benachrichtigungen, Multi-Projekt- und White-Label-Berichte.
Abhängigkeitsdatei hier ablegen
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...