Plataforma
php
Componente
craftcms/commerce
Corregido en
4.0.1
5.0.1
4.10.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenada en Craft CMS Commerce, afectando a versiones 4.9.4 y anteriores. Esta vulnerabilidad se manifiesta al actualizar el nombre del estado del pedido desde la tabla de pedidos de Commerce, donde el nombre no se escapa correctamente, permitiendo la ejecución de scripts maliciosos. La actualización a la versión 4.10.2 soluciona esta vulnerabilidad.
Un atacante puede explotar esta vulnerabilidad inyectando código JavaScript malicioso en el campo 'Nombre' al crear o editar un estado de pedido. Al guardar el estado con este código, el script se ejecutará en el navegador de cualquier usuario que acceda a la página donde se muestra el estado del pedido, como en el panel de administración o en la interfaz pública. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o modificar el contenido de la página, comprometiendo la integridad y confidencialidad del sistema. La severidad es baja debido a la necesidad de acceso administrativo para explotar la vulnerabilidad.
Esta vulnerabilidad fue publicada el 2026-03-10. No se ha reportado explotación activa en entornos reales, pero la disponibilidad de un Proof of Concept (PoC) público facilita la explotación. La vulnerabilidad no se encuentra en el KEV de CISA ni tiene una puntuación EPSS asignada. Se recomienda monitorear la situación y aplicar la mitigación lo antes posible.
Organizations using Craft Commerce versions 4.9.4 and earlier, particularly those with limited security controls or inadequate input validation practices, are at significant risk. Sites with multiple administrator accounts or those handling sensitive customer data are especially vulnerable.
• php: Examine Craft Commerce application logs for suspicious POST requests to the Order Statuses endpoint with unusual characters in the Name field.
• generic web: Use curl to test the Order Statuses endpoint with a payload like <script>alert('XSS')</script> and observe the response for JavaScript execution.
• wordpress / composer / npm: N/A - This vulnerability is specific to the Craft CMS Commerce plugin.
• database (mysql, redis, mongodb, postgresql): N/A - This vulnerability is not directly exploitable through database queries.
• linux / server: N/A - This vulnerability is specific to the Craft CMS Commerce plugin and its PHP code.
• windows / supply-chain: N/A - This vulnerability is specific to the Craft CMS Commerce plugin and its PHP code.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
La solución principal es actualizar Craft CMS Commerce a la versión 4.10.2 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar escaping adecuado en el nombre del estado del pedido antes de renderizarlo en la página. Esto puede lograrse utilizando funciones de escaping HTML proporcionadas por Craft CMS. Además, se debe revisar y auditar todos los estados de pedido existentes para identificar y corregir cualquier instancia de código malicioso inyectado. Verifique después de la actualización que el nombre del estado del pedido se renderice correctamente sin ejecución de scripts.
Actualice Craft Commerce a la versión 4.10.2 o superior si está utilizando la serie 4.x, o a la versión 5.5.3 o superior si está utilizando la serie 5.x. Esto corregirá la vulnerabilidad XSS almacenada al actualizar el estado del pedido desde la tabla de pedidos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29173 is a stored Cross-Site Scripting (XSS) vulnerability in Craft Commerce affecting versions up to 4.9.4. It allows attackers to inject malicious scripts via Order Status Names.
You are affected if you are using Craft Commerce versions 4.9.4 or earlier. Upgrade to 4.10.2 to mitigate the risk.
Upgrade Craft Commerce to version 4.10.2 or later. Implement input validation and output encoding as a temporary workaround.
There are currently no confirmed reports of active exploitation, but the vulnerability is easily exploitable and should be addressed promptly.
Refer to the official Craft CMS security advisory for details and updates: [https://craftcms.com/security/](https://craftcms.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.