Plataforma
php
Componente
funadmin/funadmin
Corregido en
7.1.1
7.1.1
7.1.1
7.1.1
7.1.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en funadmin, afectando a versiones hasta la 7.1.0-rc4. Esta falla permite a un atacante inyectar scripts maliciosos a través de la manipulación del argumento 'Value' en el archivo app/backend/view/index/index.html. La explotación es posible de forma remota y ya ha sido divulgada públicamente, lo que aumenta el riesgo de ataques.
La vulnerabilidad XSS en funadmin permite a un atacante ejecutar código JavaScript arbitrario en el navegador de un usuario que visite una página comprometida. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, robar las credenciales de un administrador si este accede a la página vulnerable. Dado que la explotación es remota, el riesgo es significativo, especialmente si la aplicación funadmin se utiliza en entornos con acceso público.
La vulnerabilidad ha sido divulgada públicamente el 22 de febrero de 2026, lo que indica una alta probabilidad de explotación. No se ha confirmado explotación activa a la fecha, pero la disponibilidad de la divulgación pública aumenta significativamente el riesgo. La falta de respuesta del proveedor dificulta la obtención de una solución oficial a corto plazo.
Organizations using funadmin for backend management interfaces are at risk, particularly those running versions prior to the security fix. Shared hosting environments where multiple users share the same funadmin instance are also at increased risk, as an attacker could potentially exploit the vulnerability through another user's account.
• php / server:
grep -r "Value = javascript:" /var/www/funadmin/• generic web:
curl -I http://your-funadmin-site.com/app/backend/view/index/index.html | grep -i content-security-policydisclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar funadmin a una versión corregida, una vez que esté disponible. Mientras tanto, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es la validación y el saneamiento riguroso de todas las entradas de usuario, especialmente el argumento 'Value' en el archivo index.html. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de scripts. Monitorear los logs de la aplicación en busca de patrones sospechosos también puede ayudar a detectar intentos de explotación.
Actualizar funadmin a una versión posterior a 7.1.0-rc4 que corrija la vulnerabilidad XSS. Si no hay una versión disponible, revisar y sanitizar las entradas del usuario en el archivo app/backend/view/index/index.html para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2897 is a cross-site scripting (XSS) vulnerability in funadmin versions up to 7.1.0-rc4, allowing attackers to inject malicious scripts via the 'Value' argument in the Backend Interface.
You are affected if you are using funadmin versions 7.1.0-rc4 or earlier. Upgrade to a patched version as soon as possible.
Upgrade funadmin to the latest available version. If upgrading is not possible, implement input validation and output encoding on the 'Value' argument.
While no confirmed active exploitation campaigns have been reported, the vulnerability has been publicly disclosed and may be exploited.
Check the funadmin project's official website or GitHub repository for security advisories and release notes.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.