Plataforma
php
Componente
solspace/craft-freeform
Corregido en
5.0.1
5.14.7
El CVE-2026-26188 describe una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin solspace/craft-freeform para Craft CMS. Esta vulnerabilidad permite a un usuario autenticado, con privilegios limitados para crear o editar formularios, inyectar código HTML/JavaScript malicioso. El impacto principal es la ejecución de scripts en el navegador de administradores al visualizar las pantallas del constructor o integraciones del panel de control de Craft, afectando a versiones 5.14.6 y anteriores. Se recomienda actualizar a la versión 5.14.7 para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el contexto del panel de control de Craft CMS. Esto podría permitir el robo de cookies de sesión de administrador, la modificación de datos sensibles, la redirección de usuarios a sitios maliciosos o incluso la toma del control de la aplicación. La inyección de código se realiza a través de campos controlados por el usuario en la configuración de formularios y las integraciones, que luego se renderizan sin la debida sanitización utilizando dangerouslySetInnerHTML. La persistencia de la inyección significa que el código malicioso permanece en el sistema hasta que se elimine o se corrija la configuración del formulario, afectando a todos los administradores que visualicen la página.
Este CVE fue publicado el 22 de enero de 2026. No se ha reportado explotación activa en entornos reales hasta el momento. La vulnerabilidad se considera de baja probabilidad de explotación debido a la necesidad de autenticación y privilegios limitados. No se ha añadido a la lista KEV de CISA. Se recomienda monitorear la situación y aplicar la solución tan pronto como sea posible.
Organizations using Craft CMS with the solspace/craft-freeform plugin, particularly those with multiple administrators or users who have the ability to create and edit forms, are at risk. Shared hosting environments where multiple Craft CMS installations share the same server resources could also be affected if one installation is compromised.
• wordpress / composer / npm:
grep -r "dangerouslySetInnerHTML" /path/to/craft-freeform/• generic web:
curl -I https://your-craft-site.com/admin/actions/forms/builder | grep -i 'X-XSS-Protection'disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar el plugin solspace/craft-freeform a la versión 5.14.7 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente todas las configuraciones de formularios y integraciones en busca de posibles inyecciones de código. Además, se pueden implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de código. Como medida temporal, se podría deshabilitar la función de renderizado dangerouslySetInnerHTML si no es esencial, aunque esto podría afectar la funcionalidad del plugin. Después de la actualización, verificar que las configuraciones de formularios y integraciones no contengan código malicioso.
Actualice el plugin Solspace Freeform a la versión 5.14.7 o superior. Esta versión corrige la vulnerabilidad de Cross-Site Scripting (XSS) almacenado. La actualización se puede realizar a través del panel de control de Craft CMS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-26188 is a Cross-Site Scripting (XSS) vulnerability in the solspace/craft-freeform plugin for Craft CMS, allowing authenticated users to inject malicious code into the admin panel.
You are affected if you are using solspace/craft-freeform version 5.9.9 or earlier. Check your plugin versions and upgrade immediately.
Upgrade to solspace/craft-freeform version 5.14.7 or later to patch the vulnerability. This resolves the insecure rendering of user-controlled data.
While no active exploitation campaigns have been publicly reported, the vulnerability's ease of exploitation makes it a potential target. Monitor your systems closely.
Refer to the solspace website and Craft CMS security advisories for the official announcement and details regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.