Plataforma
nodejs
Componente
payloadcms/payload
Corregido en
3.73.1
Se ha descubierto una vulnerabilidad de inyección SQL en Payload CMS, una plataforma de gestión de contenido sin cabeza de código abierto. Las versiones anteriores a 3.73.0 son susceptibles a este fallo, ya que la entrada del usuario se incrusta directamente en consultas SQL sin el debido escape al consultar campos JSON o richText. Esta falla permite a un atacante no autenticado extraer información confidencial y comprometer cuentas.
La inyección SQL en Payload CMS permite a un atacante extraer datos sensibles directamente de la base de datos. Esto incluye direcciones de correo electrónico, tokens de restablecimiento de contraseña y potencialmente otros datos de usuario. Con estos tokens, un atacante puede tomar el control total de las cuentas de usuario sin necesidad de conocer las contraseñas. La falta de autenticación necesaria para explotar esta vulnerabilidad amplía significativamente el riesgo, ya que cualquier usuario externo puede intentar la explotación. La naturaleza 'blind' de la inyección SQL significa que el atacante no necesita ver los resultados de cada consulta directamente, lo que dificulta la detección.
Esta vulnerabilidad ha sido publicada el 6 de febrero de 2026. No se ha reportado su inclusión en el KEV de CISA. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la inyección SQL y la falta de autenticación necesaria la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear de cerca los sistemas Payload CMS para detectar cualquier actividad sospechosa.
Organizations using Payload CMS for headless content management, particularly those relying on JSON or richText fields for content storage, are at significant risk. Shared hosting environments where multiple Payload CMS instances share a database are especially vulnerable, as a compromise of one instance could potentially expose data from others. Legacy configurations with outdated security practices are also at increased risk.
• nodejs: Monitor Payload CMS application logs for SQL injection attempts targeting JSON or richText fields. Look for unusual SQL queries containing user-supplied input.
grep -i 'payload cms' /var/log/nginx/error.log | grep -i 'sql injection'• generic web: Use curl to test vulnerable endpoints with SQL injection payloads. Examine the response for error messages or unexpected data.
curl -X POST -d "payload='; DROP TABLE users; --" https://your-payload-cms-site/api/endpoint• database (mysql): Monitor MySQL logs for unusual SQL queries originating from the Payload CMS application. Look for queries containing user-supplied input without proper escaping.
SELECT * FROM mysql.general_log WHERE command_type = 'Query' AND user = 'payload_cms_user';disclosure
Estado del Exploit
EPSS
0.04% (11% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar Payload CMS a la versión 3.73.0 o superior, que incluye la corrección de seguridad. Si la actualización inmediata no es posible, considere implementar reglas de firewall de aplicaciones web (WAF) para filtrar consultas SQL maliciosas. Además, revise y fortalezca las políticas de seguridad de la base de datos, asegurándose de que los permisos de usuario estén configurados de manera restrictiva. Después de la actualización, confirme la mitigación revisando los registros de auditoría en busca de intentos de inyección SQL y verificando la integridad de los datos.
Actualice Payload CMS a la versión 3.73.0 o superior. Esta versión corrige la vulnerabilidad de inyección SQL. Se recomienda realizar una copia de seguridad antes de actualizar.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25544 is a critical SQL Injection vulnerability affecting Payload CMS versions prior to 3.73.0. It allows attackers to extract sensitive data and potentially take over user accounts.
You are affected if you are using Payload CMS version 3.73.0 or earlier. Immediately check your version and upgrade if necessary.
Upgrade Payload CMS to version 3.73.0 or later. As a temporary workaround, implement a WAF to filter SQL injection attempts.
While no active exploitation campaigns have been publicly confirmed, the vulnerability's ease of exploitation makes it a likely target.
Refer to the official Payload CMS security advisory on their website or GitHub repository for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.