Plataforma
ruby
Componente
decidim-core
Corregido en
0.31.1
0.30.6
0.31.1
Se ha identificado una vulnerabilidad de ejecución de código almacenado (XSS) en decidim-core, específicamente en el campo del nombre de usuario. Esta falla permite a un atacante de bajo privilegio ejecutar código arbitrario en el contexto de cualquier usuario que simplemente visite una página de comentarios, lo que resulta en un impacto significativo en la confidencialidad y la integridad de los datos. La vulnerabilidad afecta a las versiones de decidim-core hasta la 0.31.0.rc2, y actualmente no se dispone de un parche ni de workarounds.
La gravedad de esta vulnerabilidad radica en su capacidad para permitir la ejecución remota de código. Un atacante podría inyectar código malicioso en el campo del nombre de usuario, que se ejecutaría en el navegador de cualquier usuario que acceda a una página de comentarios que contenga el código inyectado. Esto podría resultar en el robo de credenciales, la modificación de datos sensibles o incluso el control total del sistema. El impacto es particularmente grave porque la ejecución se realiza en el contexto de un usuario legítimo, lo que dificulta la detección y mitigación. Esta vulnerabilidad se asemeja a otros ataques XSS que han afectado a plataformas web, pudiendo comprometer la seguridad de la información y la integridad del sistema.
La vulnerabilidad fue descubierta durante una auditoría de seguridad organizada por octree y realizada por Secu Labs, financiada por la ciudad de Lausana (Suiza). Actualmente, no se dispone de información sobre explotación activa de esta vulnerabilidad. La vulnerabilidad ha sido publicada el 2026-04-13. La evaluación de riesgo es alta debido a la severidad del CVSS y la posibilidad de ejecución remota de código.
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
Dado que no se dispone de un parche ni de workarounds oficiales para la vulnerabilidad CVE-2026-23891 en decidim-core, la mitigación se centra en medidas preventivas y de detección. Se recomienda encarecidamente actualizar a la versión 0.31.1 tan pronto como esté disponible. Mientras tanto, se pueden implementar reglas de firewall de aplicaciones web (WAF) para filtrar entradas de usuario sospechosas y bloquear la ejecución de código malicioso. Además, es crucial realizar auditorías de seguridad periódicas del código fuente para identificar y corregir posibles vulnerabilidades. La monitorización de los registros del servidor en busca de patrones de actividad inusuales también puede ayudar a detectar ataques en curso.
Actualice Decidim a la versión 0.30.5 o superior (0.31.1) para mitigar la vulnerabilidad XSS. Esta actualización corrige el problema al sanitizar correctamente la entrada del usuario en el campo del nombre de usuario, previniendo la ejecución de código malicioso. Consulte las notas de la versión para obtener instrucciones detalladas de actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-23891 is a CRITICAL Cross-Site Scripting (XSS) vulnerability in Decidim-Core versions up to 0.31.0.rc2. It allows attackers to execute malicious code in the context of other users, potentially compromising their sessions and data.
You are affected if you are running Decidim-Core versions 0.31.0.rc2 or earlier. Immediately check your version and upgrade to 0.31.1 or later to mitigate the risk.
The recommended fix is to upgrade Decidim-Core to version 0.31.1 or later. There are currently no available workarounds.
While no active exploitation campaigns have been publicly reported, the vulnerability's severity and ease of exploitation suggest it may become a target. Monitor your systems closely.
Refer to the official Decidim security advisory for detailed information and updates regarding CVE-2026-23891. Check the Decidim website and security mailing lists for announcements.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo Gemfile.lock y te decimos al instante si estás afectado.