Plataforma
php
Componente
my_cve
Corregido en
5.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en JFinalCMS versiones 5.0.0. Esta debilidad afecta a la función /admin/admin/save del componente API Endpoint, permitiendo la ejecución de scripts maliciosos en el contexto del usuario. La vulnerabilidad es explotable de forma remota y un Proof of Concept (PoC) ya está disponible públicamente. Se recomienda actualizar a una versión corregida o implementar medidas de mitigación.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en las páginas web de JFinalCMS. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. El impacto se amplifica si el sitio web es utilizado por un gran número de usuarios, ya que un ataque exitoso podría afectar a múltiples individuos. La disponibilidad del PoC público aumenta significativamente el riesgo de explotación.
El PoC público indica una alta probabilidad de explotación. La vulnerabilidad ha sido publicada el 2026-02-09, lo que significa que los atacantes ya tienen conocimiento de la debilidad y pueden estar buscando activamente formas de explotarla. Aunque la CVSS es baja, la disponibilidad del PoC la eleva a un riesgo considerable, especialmente para sistemas expuestos a internet.
Administrators and users of JFinalCMS 5.0.0 are at risk. Shared hosting environments that utilize JFinalCMS are particularly vulnerable due to the potential for cross-tenant exploitation. Systems with weak input validation or output encoding are also at increased risk.
• php / web:
grep -r "<script" /var/www/jfinalcms/admin/admin/save• generic web:
curl -I http://your-jfinalcms-site.com/admin/admin/save?param=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar JFinalCMS a una versión corregida, una vez que esté disponible. Mientras tanto, se pueden implementar medidas de seguridad adicionales. Es crucial validar y sanear todas las entradas de usuario antes de mostrarlas en la página web. Implementar una política de seguridad de contenido (CSP) puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de contenido que el navegador puede cargar. Monitorear los logs del servidor en busca de patrones sospechosos, como solicitudes con caracteres inusuales en los parámetros, también puede ayudar a detectar intentos de explotación.
Actualizar JFinalCMS a una versión posterior a la 5.0.0 que corrija la vulnerabilidad de Cross-Site Scripting (XSS). Si no hay una versión disponible, se recomienda aplicar un parche de seguridad que filtre o escape las entradas del usuario en el endpoint /admin/admin/save para prevenir la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2200 is a cross-site scripting vulnerability in JFinalCMS 5.0.0 affecting the /admin/admin/save endpoint, allowing attackers to inject malicious scripts.
If you are running JFinalCMS version 5.0.0, you are potentially affected by this vulnerability. Upgrade as soon as possible.
Upgrade to a patched version of JFinalCMS. Until a patch is available, implement strict input validation and output encoding.
While no active campaigns have been confirmed, the public availability of the exploit increases the risk of exploitation.
Refer to the JFinalCMS official website or security mailing list for the latest advisory and patch information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.