Plataforma
php
Componente
craftcms/commerce
Corregido en
4.0.1
5.0.1
4.10.2
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en la sección de detalles del pedido de Craft Commerce. Un atacante puede inyectar código JavaScript malicioso en campos como el Nombre del Método de Envío, la Referencia del Pedido o el Nombre del Sitio. La ejecución del payload ocurre al abrir el slideout de detalles del pedido, comprometiendo la seguridad de los usuarios.
Esta vulnerabilidad XSS permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto podría resultar en el robo de cookies de sesión, la redirección a sitios maliciosos, la modificación del contenido de la página o incluso el acceso a información confidencial. El impacto es significativo, especialmente si los detalles del pedido contienen información sensible como datos personales o financieros. La inyección es posible a través de campos aparentemente inofensivos, lo que dificulta su detección inicial.
Esta vulnerabilidad fue publicada el 10 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas. No se encuentra en el KEV de CISA. La probabilidad de explotación se considera baja debido a la necesidad de interacción del usuario para activar el payload.
Organizations using Craft Commerce versions 4.9.4 and earlier are at risk. This includes businesses relying on Craft Commerce for e-commerce functionality, particularly those with custom shipping methods or order reference systems. Shared hosting environments where multiple users share the same Craft Commerce installation are also at increased risk.
• php: Examine Craft Commerce database entries for suspicious JavaScript code in Shipping Method Name, Order Reference, and Site Name fields. Use SELECT * FROM commerceshippingmethods WHERE name LIKE '%<script%'; to identify potentially malicious entries.
• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the URL parameters related to order details.
• generic web: Review Craft Commerce plugin files for any custom code that might be vulnerable to XSS. Use grep -r '<script' /path/to/craft-commerce/plugins to search for script tags.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
La mitigación principal es actualizar Craft Commerce a la versión 4.10.2 o superior, donde se ha corregido la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como la validación y el saneamiento de todas las entradas de usuario en el lado del servidor. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear patrones de inyección XSS comunes. Verifique que la configuración de seguridad de Craft CMS sea la más restrictiva posible.
Actualice Craft Commerce a la versión 4.10.2 o superior, o a la versión 5.5.3 o superior, según corresponda a su versión actual. Esto solucionará la vulnerabilidad XSS almacenada en los detalles del pedido.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-29177 is a Stored Cross-Site Scripting (XSS) vulnerability in Craft Commerce versions up to 4.9.4, allowing malicious JavaScript injection via order details fields.
Yes, if you are using Craft Commerce version 4.9.4 or earlier, you are potentially affected by this XSS vulnerability.
Upgrade Craft Commerce to version 4.10.2 or later to resolve this vulnerability. Consider input validation as a temporary workaround.
While no active exploitation has been confirmed, the ease of reproduction suggests a potential risk.
Refer to the official Craft CMS security advisory for detailed information and updates: [https://craftcms.com/security/](https://craftcms.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.