Escanear gratis
CRITICALCVE-2026-45053CVSS 9.1

CVE-2026-45053: RCE en CubeCart v6 por Upload Arbitrario

Plataforma

php

Componente

cubecart-v6

Corregido en

6.7.0

Ver en NVD
Guardar

Se ha descubierto una vulnerabilidad de Carga Arbitraria de Archivos en CubeCart v6, afectando a las versiones 6.0.0 hasta la 6.6.9. Esta falla permite a un atacante autenticado con una clave API con permisos de escritura de archivos subir archivos PHP arbitrarios al directorio web-accesible images/source/. Combinado con una vulnerabilidad de recorrido de ruta en el mismo endpoint, un atacante puede escribir un webshell en cualquier lugar donde el proceso del servidor web pueda escribir, lo que resulta en una Ejecución Remota de Código (RCE). La vulnerabilidad se corrige en la versión 6.7.0 y se recomienda actualizar inmediatamente.

Impacto y Escenarios de Ataque

La explotación exitosa de esta vulnerabilidad permite a un atacante autenticado con una clave API válida subir archivos PHP arbitrarios al servidor CubeCart. Estos archivos pueden ser webshells, que permiten al atacante ejecutar comandos arbitrarios en el sistema operativo subyacente. La vulnerabilidad de recorrido de ruta amplifica el impacto, permitiendo al atacante escribir el webshell en ubicaciones críticas, como el directorio raíz del sitio web. Esto podría resultar en el control total del servidor, la exfiltración de datos confidenciales, la modificación de la base de datos, la instalación de malware o el uso del servidor como punto de apoyo para ataques posteriores. La autenticación requerida para la explotación significa que un atacante necesita una clave API válida, pero una vez comprometida, el impacto es devastador.

Contexto de Explotación

Esta vulnerabilidad ha sido publicada recientemente (2026-05-13) y su severidad es crítica (CVSS 9.1). No se ha reportado públicamente la explotación activa de esta vulnerabilidad en campañas específicas, pero la disponibilidad de la descripción técnica y la facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear de cerca los foros de seguridad y los recursos de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada. La vulnerabilidad se considera de alta probabilidad de explotación debido a su gravedad y la falta de una solución inmediata para todos los usuarios.

Inteligencia de Amenazas

Estado del Exploit

Prueba de ConceptoDesconocido
CISA KEVNO
Exposición en InternetAlta
Informes1 informe de amenaza

Vector CVSS

INTELIGENCIA DE AMENAZAS· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkCómo el atacante alcanza el objetivoAttack ComplexityLowCondiciones necesarias para explotarPrivileges RequiredHighNivel de autenticación requeridoUser InteractionNoneSi la víctima debe realizar una acciónScopeChangedImpacto más allá del componente afectadoConfidentialityHighRiesgo de exposición de datos sensiblesIntegrityHighRiesgo de modificación no autorizada de datosAvailabilityHighRiesgo de interrupción del servicionextguardhq.com · Puntuación Base CVSS v3.1
¿Qué significan estas métricas?
Attack Vector
Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
Attack Complexity
Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
Privileges Required
Alto — se requiere cuenta de administrador o privilegiada.
User Interaction
Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
Scope
Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
Confidentiality
Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
Integrity
Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
Availability
Alto — caída completa o agotamiento de recursos. Denegación de servicio total.

Software Afectado

Componentecubecart-v6
Proveedorcubecart
Versión mínima6.0.0
Versión máxima< 6.7.0
Corregido en6.7.0

Clasificación de Debilidad (CWE)

CWE-434

Cronología

  1. Reservado
  2. Publicada

Mitigación y Workarounds

La mitigación principal para esta vulnerabilidad es actualizar CubeCart a la versión 6.7.0, que incluye la corrección. Si la actualización inmediata no es posible, considere las siguientes medidas provisionales. Revise y restrinja los permisos de las claves API para evitar que los usuarios tengan permisos de escritura de archivos innecesarios. Implemente un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear la carga de archivos PHP sospechosos. Monitoree los registros del servidor en busca de patrones sospechosos, como la creación de archivos PHP en el directorio images/source/. Desactive temporalmente el endpoint de la API de gestión de archivos hasta que se pueda aplicar la actualización. Después de la actualización, confirme que la vulnerabilidad se ha solucionado revisando los registros del servidor y realizando pruebas de penetración básicas.

Cómo corregirlotraduciendo…

Actualice CubeCart a la versión 6.7.0 o posterior para mitigar la vulnerabilidad de carga arbitraria de archivos. Esta actualización corrige la falla de seguridad al restringir la capacidad de subir archivos PHP maliciosos a través de la API REST.

Preguntas frecuentes

What is CVE-2026-45053 — RCE en CubeCart v6?

CVE-2026-45053 es una vulnerabilidad de Ejecución Remota de Código (RCE) en CubeCart v6, que permite a un atacante autenticado subir archivos PHP arbitrarios y ejecutarlos en el servidor.

Am I affected by CVE-2026-45053 in CubeCart v6?

Sí, si está utilizando CubeCart v6.0.0 hasta la 6.6.9 y tiene claves API con permisos de escritura de archivos, es vulnerable a esta vulnerabilidad. Actualice a la versión 6.7.0 para solucionar el problema.

How do I fix CVE-2026-45053 in CubeCart v6?

La solución es actualizar CubeCart a la versión 6.7.0. Si no puede actualizar inmediatamente, restrinja los permisos de las claves API y implemente un WAF.

Is CVE-2026-45053 being actively exploited?

Aunque no se han reportado explotaciones activas, la vulnerabilidad es crítica y de alta probabilidad de explotación debido a su facilidad de explotación y la falta de una solución inmediata para todos los usuarios.

Where can I find the official CubeCart advisory for CVE-2026-45053?

Consulte el sitio web oficial de CubeCart o su canal de comunicación de seguridad para obtener la información más reciente y las actualizaciones sobre esta vulnerabilidad.

¿Tu proyecto está afectado?

Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.

Escanear gratisBuscar CVEs
liveescaneo gratuito

Pruébalo ahora — sin cuenta

Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.

Escaneo manualAlertas en Slack/emailMonitoreo continuoReportes white-label

Arrastra y suelta tu archivo de dependencias

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...