Plataforma
php
Componente
octobercms
Corregido en
4.0.1
3.7.17
3.7.16
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el widget DataTable del backend de October CMS. Esta vulnerabilidad se produce porque un parámetro de consulta no se escapa correctamente al ser renderizado. El impacto es limitado, requiriendo que un usuario autenticado en el backend visite una URL especialmente diseñada, pero permite la ejecución de código malicioso en el contexto del usuario.
La vulnerabilidad XSS reflejado permite a un atacante inyectar código JavaScript malicioso en una página del backend de October CMS. Para explotar esta vulnerabilidad, el atacante debe conocer o adivinar el prefijo de la URL del backend y luego crear una URL maliciosa que contenga el código JavaScript. Una vez que un usuario autenticado visita esta URL, el código JavaScript se ejecuta en su navegador, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o realizar otras acciones maliciosas en nombre del usuario. Es importante destacar que esta es una XSS reflejada, lo que significa que el código malicioso no se almacena permanentemente en el servidor, sino que se ejecuta solo cuando el usuario visita la URL maliciosa.
Esta vulnerabilidad fue publicada el 2026-04-21. No se ha reportado su explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de conocer el prefijo de la URL del backend y la naturaleza reflejada de la vulnerabilidad.
Organizations using October CMS versions 4.0.0 through 4.1.15 are at risk. Specifically, those with custom backend URL prefixes or those who allow user-supplied input to influence the DataTable queries are more vulnerable. Shared hosting environments running October CMS should also be prioritized for patching.
• php: Examine October CMS application logs for unusual URL parameters or JavaScript execution attempts.
grep -i 'javascript:' /path/to/october/cms/logs/error.log• generic web: Monitor access logs for requests containing suspicious query parameters in the DataTable URL.
curl -I https://your-october-cms-site.com/backend/october/manage/settings/datatables?param=javascript:alert('XSS')• generic web: Check response headers for signs of JavaScript injection.
curl -I https://your-october-cms-site.com/backend/october/manage/settings/datatables?param=javascript:alert('XSS') | grep Content-Typedisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar October CMS a la versión 4.1.16 o superior. Esta versión incluye una corrección que escapa correctamente el parámetro de consulta vulnerable. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el backend. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código JavaScript sospechoso en los parámetros de la URL. Verifique después de la actualización que el parámetro de consulta se escapa correctamente al renderizar el widget DataTable.
Actualice October CMS a la versión 3.7.16 o superior, o a la versión 4.1.16 o superior. Esta actualización corrige la vulnerabilidad de (XSS) al escapar correctamente los parámetros de consulta en el widget (DataTable).
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-27937 es una vulnerabilidad de Cross-Site Scripting (XSS) reflejado en el widget DataTable del backend de October CMS que permite la ejecución de código malicioso.
Si está utilizando October CMS en las versiones 4.0.0 a 4.1.15, es vulnerable a esta vulnerabilidad. Actualice a la versión 4.1.16 o superior.
La solución es actualizar October CMS a la versión 4.1.16 o superior. También puede implementar medidas de seguridad adicionales como la validación de entradas.
Hasta el momento, no se ha reportado explotación activa de esta vulnerabilidad en campañas conocidas.
Consulte el sitio web oficial de October CMS para obtener la información más reciente sobre esta vulnerabilidad y las actualizaciones disponibles.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.