Plataforma
php
Componente
rainrock-rockoa
Corregido en
2.7.1
2.7.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en RockOA, versiones 2.7.0 y 2.7.1. Esta debilidad reside en la manipulación del argumento 'callback' dentro del archivo 'rockfun.php' del componente API. La explotación exitosa permite a un atacante inyectar y ejecutar scripts maliciosos en el navegador de un usuario, comprometiendo potencialmente la confidencialidad e integridad de la información. La vulnerabilidad es remotamente explotable y un PoC público ya está disponible.
La vulnerabilidad XSS en RockOA permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario autenticado. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web y, en última instancia, el control total de la cuenta del usuario afectado. Un atacante podría utilizar esta vulnerabilidad para obtener acceso a información confidencial almacenada en RockOA, como documentos, datos de usuario y configuraciones del sistema. La disponibilidad de un PoC público aumenta significativamente el riesgo de explotación, ya que facilita la tarea a atacantes con diferentes niveles de habilidad técnica. La falta de respuesta del proveedor agrava la situación, dejando a los usuarios sin una solución oficial inmediata.
La vulnerabilidad CVE-2026-0588 es de baja severidad según el CVSS, pero la disponibilidad de un PoC público la convierte en un riesgo significativo. El hecho de que el proveedor no haya respondido a la divulgación inicial es preocupante y sugiere que una solución podría tardar en llegar. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad de explotación activa. La vulnerabilidad se basa en una manipulación de parámetros, un patrón de ataque común en aplicaciones web.
Organizations using Rainrock RockOA versions 2.7.0 and 2.7.1, particularly those with publicly accessible instances or those handling sensitive user data, are at risk. Shared hosting environments where RockOA is installed could be particularly vulnerable due to limited control over server configurations.
• php / web:
curl -I 'http://your-rockoa-server/api/rockfun.php?callback=<script>alert(1)</script>' | grep -i content-type• generic web:
curl -I 'http://your-rockoa-server/api/rockfun.php?callback=<script>alert(1)</script>' | grep -i content-typedisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
Dado que no se ha proporcionado una versión corregida, la mitigación inmediata se centra en la validación estricta de la entrada del usuario en el archivo 'rockfun.php'. Implemente filtros de entrada para sanitizar o rechazar cualquier entrada que contenga caracteres o secuencias de escape potencialmente peligrosas. Considere la posibilidad de utilizar una Web Application Firewall (WAF) con reglas personalizadas para bloquear solicitudes que intenten explotar esta vulnerabilidad. Revise y refuerce las políticas de seguridad de contenido (CSP) para limitar las fuentes de scripts que pueden ejecutarse en el navegador. Monitoree los registros de acceso y error en busca de patrones sospechosos que puedan indicar un intento de explotación. Una vez disponible, actualice RockOA a la última versión segura.
Actualizar Rainrock RockOA a una versión posterior a 2.7.1. Si no hay actualizaciones disponibles, considerar deshabilitar o eliminar el componente afectado (rockfun.php) hasta que se publique una solución. Alternativamente, implementar medidas de seguridad como la validación y el saneamiento de la entrada 'callback' para prevenir ataques XSS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0588 is a cross-site scripting (XSS) vulnerability affecting Rainrock RockOA versions 2.7.0-2.7.1, allowing attackers to inject malicious scripts via the rockfun.php API component.
You are affected if you are using Rainrock RockOA versions 2.7.0 or 2.7.1. Check your version and upgrade as soon as a patch is available.
Upgrade to a patched version of Rainrock RockOA. Contact the vendor for the latest release. Implement input validation and output encoding as an interim measure.
A public proof-of-concept exists, indicating a potential for active exploitation. Monitor your systems for suspicious activity.
Check the Rainrock RockOA website and security advisories for updates regarding CVE-2026-0588. Contact the vendor directly for information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.