Plataforma
php
Componente
craftcms/cms
Corregido en
5.0.1
5.8.22
Se ha descubierto una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Craft CMS, específicamente en la forma en que se manejan los nombres de los Tipos de Entrada. Un atacante con privilegios de administrador y la opción allowAdminChanges habilitada puede inyectar código JavaScript malicioso que se ejecutará en el navegador de otros usuarios. Esta vulnerabilidad afecta a versiones de Craft CMS menores o iguales a 5.8.9 y se ha solucionado en la versión 5.8.22.
La vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de un usuario con privilegios de administrador. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido del sitio web o incluso el acceso a información confidencial. El ataque requiere que el atacante tenga acceso a la configuración de Tipos de Entrada y que la opción allowAdminChanges esté activada en el entorno de producción, lo cual es una configuración no recomendada por Craft CMS. La explotación exitosa de esta vulnerabilidad podría comprometer la integridad y confidencialidad de la aplicación Craft CMS y sus datos.
Esta vulnerabilidad fue publicada el 9 de febrero de 2026. No se ha reportado explotación activa en entornos reales, pero la disponibilidad de un Proof of Concept (PoC) público aumenta el riesgo de explotación. La vulnerabilidad no figura en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de esta redacción. La severidad se considera baja debido a la necesidad de privilegios de administrador y la configuración específica requerida para la explotación.
Organizations using Craft CMS in production environments, particularly those with admin users who may inadvertently enable the allowAdminChanges setting, are at risk. Shared hosting environments where multiple users share the same Craft CMS instance are also vulnerable, as an attacker could potentially compromise an admin account and exploit the vulnerability.
• php: Examine Craft CMS logs for POST requests to /admin/settings/entry-types containing suspicious HTML or JavaScript code in the Name parameter. Use grep to search for patterns like <script> or onerror= within log entries.
grep '<script>.*onerror=' /path/to/craftcms/storage/logs/web.log• generic web: Monitor access logs for requests to /admin/settings/entry-types originating from unusual IP addresses or user agents. Check response headers for unexpected content or redirects.
curl -I https://example.com/admin/settings/entry-types | grep Content-Typedisclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar Craft CMS a la versión 5.8.22 o superior. Si la actualización inmediata no es posible, deshabilitar la opción allowAdminChanges en el entorno de producción es una medida temporal que reduce significativamente el riesgo. Además, se recomienda revisar y validar todas las entradas de usuario para prevenir futuras vulnerabilidades XSS. Implementar una política de seguridad de contenido (CSP) también puede ayudar a mitigar el impacto de un ataque XSS exitoso.
Actualice Craft CMS a la versión 5.8.22 o superior. Esta versión contiene la corrección para la vulnerabilidad XSS almacenada en los nombres de los tipos de entrada. La actualización se puede realizar a través del panel de control de Craft CMS o mediante Composer.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25491 is a stored Cross-Site Scripting (XSS) vulnerability in Craft CMS versions 5.8.9 and earlier, allowing attackers to inject malicious scripts via Entry Type names.
You are affected if you are using Craft CMS versions 5.8.9 or earlier and have admin access to the settings panel with allowAdminChanges enabled.
Upgrade Craft CMS to version 5.8.22 or later. If immediate upgrade is not possible, disable the allowAdminChanges setting in production.
As of the current disclosure date, there are no known public exploits or active campaigns targeting this vulnerability.
Refer to the official Craft CMS security advisory for details: https://craftcms.com/knowledge-base/securing-craft.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.