Plataforma
php
Componente
icms2
Corregido en
2.18.2
La vulnerabilidad CVE-2026-28281 afecta a InstantCMS, un sistema de gestión de contenidos de código abierto. Esta vulnerabilidad de Cross-Site Request Forgery (CSRF) permite a atacantes realizar acciones en nombre de un usuario autenticado, como conceder privilegios de moderador. La vulnerabilidad se encuentra presente en versiones anteriores a 2.18.1, y ha sido solucionada en la versión 2.18.1.
Un atacante puede explotar esta vulnerabilidad CSRF para realizar acciones no autorizadas en un sitio InstantCMS sin el conocimiento o consentimiento del usuario. Esto incluye la capacidad de conceder privilegios de moderador a usuarios maliciosos, ejecutar tareas programadas que podrían comprometer la integridad del sitio, mover publicaciones a la papelera de reciclaje, y aceptar solicitudes de amistad en nombre del usuario. El impacto potencial es significativo, ya que un atacante podría tomar el control de partes importantes del sitio web y manipular su contenido o funcionalidad. La falta de validación de tokens CSRF facilita la ejecución de estas acciones.
La vulnerabilidad fue publicada el 9 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a ataques automatizados. Es importante monitorear los sistemas InstantCMS para detectar cualquier actividad sospechosa. La vulnerabilidad no se encuentra en el KEV de CISA ni tiene una puntuación EPSS asignada.
Organizations and individuals using InstantCMS versions prior to 2.18.1 are at risk. This includes websites and applications relying on InstantCMS for content management, particularly those with a large user base or sensitive data. Shared hosting environments using InstantCMS are also at increased risk due to the potential for cross-tenant exploitation.
• php / web:
curl -I <your_instantcms_url> | grep -i 'csrf-token'• php / web: Examine the source code for missing or improperly validated CSRF tokens in forms and sensitive actions. • generic web: Monitor access logs for unusual requests originating from different IP addresses than the user's typical location. • generic web: Check for suspicious POST requests containing unexpected parameters or actions.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-28281 es actualizar InstantCMS a la versión 2.18.1 o superior. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación manual de todas las solicitudes sensibles y la implementación de políticas de seguridad de contenido (CSP) para restringir las fuentes de las que se pueden cargar los scripts. Además, se debe educar a los usuarios sobre los riesgos de los ataques CSRF y fomentar prácticas seguras de navegación. Después de la actualización, confirme la mitigación revisando los logs del servidor en busca de intentos de solicitudes CSRF.
Actualice InstantCMS a la versión 2.18.1 o superior. Esta versión corrige las vulnerabilidades CSRF que permiten a los atacantes realizar acciones no autorizadas en nombre de los usuarios. La actualización es crucial para proteger su sitio web contra posibles ataques.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-28281 is a Cross-Site Request Forgery vulnerability affecting InstantCMS versions before 2.18.1, allowing attackers to perform actions as authenticated users.
You are affected if you are using InstantCMS version 2.18.1 or earlier. Upgrade to 2.18.1 to resolve the vulnerability.
Upgrade InstantCMS to version 2.18.1. Consider implementing a Content Security Policy (CSP) as an interim measure.
As of the public disclosure date, there are no confirmed reports of active exploitation, but monitoring is advised.
Refer to the official InstantCMS website and security advisories for the latest information and updates regarding this vulnerability.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.