Plataforma
php
Componente
bagisto/bagisto
Corregido en
2.3.1
2.3.11
2.3.10
La vulnerabilidad CVE-2026-21446 es una falla de ejecución remota de código (RCE) presente en Bagisto, una plataforma de comercio electrónico de código abierto. Esta falla permite a un atacante con acceso a la instalación de Bagisto ejecutar código arbitrario en el servidor subyacente, comprometiendo la confidencialidad, integridad y disponibilidad de los datos. La vulnerabilidad afecta a versiones de Bagisto menores o iguales a 2.3.9, y se recomienda actualizar a la versión 2.3.10 para solucionar el problema.
Un atacante que explote con éxito esta vulnerabilidad podría obtener control total sobre el servidor donde se ejecuta Bagisto. Esto incluye la capacidad de leer, modificar o eliminar datos confidenciales, instalar malware, o utilizar el servidor como punto de apoyo para atacar otros sistemas en la red. La falla reside en el archivo packages/Ibkul/Installer/src/Routes/Ib.php, donde una falta de validación adecuada en la configuración del archivo .env permite la inyección de comandos del sistema operativo. La ejecución de código arbitrario podría llevar a la exfiltración de información de clientes, datos de transacciones, y credenciales de acceso, con consecuencias devastadoras para la reputación y la seguridad de la empresa.
La vulnerabilidad CVE-2026-21446 fue publicada el 2 de enero de 2026. No se ha añadido a la lista KEV de CISA al momento de esta redacción. No se conocen públicamente exploits activos, pero la alta puntuación CVSS (9.8) indica un alto riesgo de explotación. La disponibilidad de un proof-of-concept (POC) podría aumentar significativamente el riesgo de explotación.
Organizations running Bagisto e-commerce platforms, particularly those using older versions (≤v2.3.9), are at significant risk. Shared hosting environments where multiple Bagisto instances are hosted on the same server are especially vulnerable, as a compromise of one instance could potentially impact others. Custom Bagisto installations or those with modified installer routes are also at increased risk.
• php: Examine web server access logs for requests to /install/api/env-file-setup from unusual IP addresses or user agents.
grep "/install/api/env-file-setup" /var/log/apache2/access.log | grep -v "127.0.0.1" • php: Check for modifications to the packages/Ibkul/Installer/src/Routes/Ib.php file. Unexpected changes could indicate an attempted exploit.
• generic web: Monitor for unusual processes running under the web server user account. Unexpected PHP scripts executing could indicate a successful exploit.
• generic web: Review the Bagisto installation directory permissions. Ensure that the web server user has only the necessary permissions to read and write files.
disclosure
patch
Estado del Exploit
EPSS
0.14% (33% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-21446 es actualizar Bagisto a la versión 2.3.10 o superior, que incluye la corrección de la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso al archivo Ib.php a través de un firewall de aplicaciones web (WAF) o un proxy inverso, configurando reglas que bloqueen solicitudes sospechosas. Además, se debe revisar y endurecer la configuración del archivo .env, asegurándose de que no contenga información sensible o comandos potencialmente peligrosos. Después de la actualización, confirme que la vulnerabilidad ha sido resuelta verificando la integridad de los archivos del sistema y realizando pruebas de penetración.
Actualice Bagisto a la versión 2.3.10 o superior. Esta versión corrige la vulnerabilidad de falta de autenticación en los endpoints de la API del instalador. La actualización impedirá que atacantes no autenticados creen cuentas de administrador o modifiquen la configuración de la aplicación.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-21446 is a critical Remote Code Execution vulnerability in Bagisto e-commerce platform versions up to v2.3.9, allowing attackers to execute arbitrary code.
You are affected if you are running Bagisto versions 2.3.9 or earlier. Upgrade to 2.3.10 or later to mitigate the risk.
Upgrade Bagisto to version 2.3.10 or later. As a temporary workaround, restrict access to the /install/api/env-file-setup endpoint.
While no active exploitation has been publicly confirmed, the ease of exploitation suggests it is likely to be targeted.
Refer to the official Bagisto security advisory for detailed information and updates: [https://bagisto.com/security/advisories](https://bagisto.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.