Plataforma
php
Componente
silver-guide
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin code-projects, específicamente en la versión 1.0. Esta falla reside en el archivo /Administrator/PHP/AdminAddAlbum.php y se aprovecha mediante la manipulación del argumento txtalbum. El impacto principal es la ejecución de scripts maliciosos en el contexto del usuario autenticado, comprometiendo la confidencialidad e integridad de la aplicación.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso a través del argumento txtalbum en el archivo AdminAddAlbum.php. Este código se ejecutará en el navegador de la víctima cuando acceda a la página afectada, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página. La severidad es baja, pero la facilidad de explotación y el potencial para ataques de phishing hacen que esta vulnerabilidad sea preocupante, especialmente en entornos donde el plugin es ampliamente utilizado. La falta de validación adecuada de la entrada del usuario es la causa principal de esta vulnerabilidad.
Esta vulnerabilidad ha sido divulgada públicamente el 9 de febrero de 2026, y un Proof of Concept (PoC) está disponible, lo que aumenta la probabilidad de explotación. La puntuación CVSS de 2.4 indica una baja severidad, pero la disponibilidad de un PoC sugiere que los atacantes podrían aprovecharla rápidamente. No se ha reportado su inclusión en el KEV de CISA ni evidencia de explotación activa a la fecha.
Administrators and users of websites utilizing the code-projects Plugin version 1.0 are at risk. Shared hosting environments where multiple websites share the same server resources are particularly vulnerable, as a compromise of one site could potentially lead to the compromise of others.
• php / server:
grep -r "txtalbum = $_POST['txtalbum']" /var/www/html/code-projects/Plugin/• generic web:
curl -I http://your-website.com/Administrator/PHP/AdminAddAlbum.php?txtalbum=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-2214 es actualizar el plugin code-projects a una versión corregida (si está disponible). En ausencia de una actualización inmediata, se recomienda implementar medidas de seguridad adicionales. Esto incluye la validación estricta de todas las entradas del usuario, especialmente el argumento txtalbum, para asegurar que solo se permitan caracteres seguros. Además, se debe implementar el escape de salida adecuado para cualquier dato que se muestre en la página web, evitando que el código inyectado se ejecute. Considerar la implementación de una Web Application Firewall (WAF) con reglas para detectar y bloquear intentos de inyección de scripts.
Actualizar el plugin a una versión corregida que filtre correctamente las entradas del usuario para evitar ataques de Cross-Site Scripting (XSS). Si no hay una versión corregida disponible, desactive o desinstale el plugin hasta que se publique una actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2214 is a cross-site scripting (XSS) vulnerability in code-projects Plugin version 1.0, allowing attackers to inject malicious scripts via the txtalbum parameter.
If you are using code-projects Plugin version 1.0, you are potentially affected. Upgrade to a patched version as soon as possible.
Upgrade to a patched version of the plugin. If a patch isn't available, implement input validation and output encoding on the txtalbum parameter.
A public proof-of-concept exploit exists, suggesting a potential for active exploitation.
Refer to the code-projects Plugin's official website or repository for the latest security advisories and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.