Plataforma
php
Componente
craftcms/cms
Corregido en
4.0.1
5.0.1
4.17.4
La vulnerabilidad CVE-2026-29113 es una falla de divulgación de información presente en Craft CMS. Esta falla permite a un atacante, mediante la manipulación del endpoint /actions/preview/create-token, forzar a un editor con sesión iniciada a generar un token de vista previa controlado por el atacante. Esto permite el acceso no autorizado a contenido no publicado o en vista previa, comprometiendo la integridad de los datos. La vulnerabilidad afecta a versiones de Craft CMS menores o iguales a 4.9.7, y se recomienda actualizar a la versión 4.17.4 para mitigar el riesgo.
El impacto principal de esta vulnerabilidad radica en la exposición de contenido no publicado o en vista previa dentro de Craft CMS. Un atacante que explote esta falla puede acceder a información sensible que aún no ha sido lanzada al público, como borradores de artículos, configuraciones internas o datos confidenciales. Esta información podría ser utilizada para fines maliciosos, como la manipulación de contenido, la recopilación de información estratégica o incluso el chantaje. La falta de un token CSRF en el endpoint de creación de tokens facilita la explotación, permitiendo a un atacante influir en el comportamiento de un editor legítimo sin necesidad de autenticación. Aunque la severidad es baja, el potencial de daño a la reputación y la integridad de los datos es significativo.
La vulnerabilidad CVE-2026-29113 fue publicada el 10 de marzo de 2026. Actualmente, no se ha añadido a la lista KEV de CISA, ni se ha reportado una puntuación EPSS. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad (CSRF) la hace susceptible a explotación. Se recomienda monitorear activamente los sistemas Craft CMS para detectar cualquier actividad sospechosa.
Organizations and individuals utilizing Craft CMS for content management, particularly those with sensitive draft content or a large number of editors with preview access, are at risk. Shared hosting environments where multiple Craft CMS instances reside on the same server could potentially expose multiple sites to this vulnerability if one instance is compromised.
• php: Examine Craft CMS application logs for unusual activity related to the /actions/preview/create-token endpoint. Look for requests originating from unexpected IP addresses or user agents.
grep "/actions/preview/create-token" /path/to/craftcms/app/logs/web.log• generic web: Monitor access logs for requests to /actions/preview/create-token with unusual parameters or originating from unfamiliar sources.
grep "/actions/preview/create-token" /var/log/apache2/access.log• generic web: Check response headers for unexpected content or error codes when accessing /actions/preview/create-token.
curl -I https://your-craftcms-site.com/actions/preview/create-tokendisclosure
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
La mitigación principal para CVE-2026-29113 es actualizar Craft CMS a la versión 4.17.4 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la última versión no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Aunque no existe una solución alternativa directa, se puede considerar la implementación de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas al endpoint /actions/preview/create-token. Además, se debe revisar la configuración de permisos y roles dentro de Craft CMS para limitar el acceso a contenido en vista previa solo a usuarios autorizados. Después de la actualización, confirme que el endpoint /actions/preview/create-token requiere un token CSRF válido.
Actualice Craft CMS a la versión 4.17.4 o superior, o a la versión 5.9.7 o superior. Esto corrige la vulnerabilidad CSRF en el endpoint de creación de tokens de vista previa, impidiendo que atacantes no autenticados accedan a contenido no publicado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29113 is a vulnerability in Craft CMS that allows attackers to access unpublished content by generating preview tokens. It affects versions up to 4.9.7 and has a CVSS score of 2.5 (LOW).
You are affected if you are running Craft CMS version 4.9.7 or earlier. Verify your version and upgrade accordingly.
Upgrade Craft CMS to version 4.17.4 or later to resolve this vulnerability. As a temporary workaround, restrict access to the /actions/preview/create-token endpoint.
Active exploitation is not currently confirmed, but the ease of exploitation suggests potential for opportunistic attacks.
Refer to the official Craft CMS security advisory for detailed information and updates: [https://craftcms.com/security/advisories](https://craftcms.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.