Plataforma
php
Corregido en
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
2.0.6
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Extended Management Module de YiFang CMS, afectando a las versiones 2.0.0 hasta 2.0.5. Esta falla permite a un atacante inyectar código malicioso a través de la manipulación de argumentos en el archivo D_adPosition.php, comprometiendo la seguridad de los usuarios. La explotación exitosa puede resultar en la ejecución de scripts en el navegador de la víctima, con consecuencias potencialmente graves.
La vulnerabilidad XSS en YiFang CMS permite a un atacante inyectar scripts maliciosos en páginas web vistas por otros usuarios. Esto puede llevar al robo de cookies de sesión, la redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría, por ejemplo, insertar un script que robe las credenciales de inicio de sesión de un administrador, permitiéndole tomar control del sistema. La naturaleza remota de la explotación significa que un atacante no necesita acceso directo al servidor para aprovechar esta vulnerabilidad. La publicación de un Proof of Concept (PoC) aumenta significativamente el riesgo de explotación.
Un Proof of Concept (PoC) para esta vulnerabilidad ha sido publicado públicamente, lo que aumenta significativamente el riesgo de explotación. La vulnerabilidad ha sido catalogada en el NVD el 2026-02-22. La probabilidad de explotación se considera alta debido a la disponibilidad del PoC y la relativa facilidad de explotación. No se ha confirmado explotación activa en campañas conocidas, pero la publicación del PoC la convierte en un objetivo atractivo para atacantes.
Websites and applications utilizing YiFang CMS Extended Management Module versions 2.0.0 through 2.0.5 are at risk. This includes organizations relying on YiFang CMS for content management and those with publicly accessible administrative interfaces. Shared hosting environments using these versions are particularly vulnerable due to the potential for cross-tenant attacks.
• php / web:
curl -I https://example.com/app/db/admin/D_adPosition.php?name/index=<script>alert(1)</script>• generic web:
grep -i '<script>' /var/log/apache2/access.logdisclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar YiFang CMS a una versión corregida que solucione esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento de todas las entradas de usuario en el archivo D_adPosition.php para prevenir la inyección de código malicioso. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Monitorear los registros de acceso y error del servidor en busca de intentos de explotación también es crucial.
Actualice YiFang CMS a una versión posterior a la 2.0.5 para corregir la vulnerabilidad XSS. Si no es posible actualizar, revise y filtre las entradas de los parámetros 'name' e 'index' en el archivo app/db/admin/D_adPosition.php para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2932 is a cross-site scripting (XSS) vulnerability affecting YiFang CMS Extended Management Module versions 2.0.0–2.0.5, allowing remote attackers to inject malicious scripts.
You are affected if your YiFang CMS Extended Management Module is running versions 2.0.0 through 2.0.5. Upgrade immediately or implement mitigation strategies.
Upgrade to a patched version of YiFang CMS Extended Management Module. If a patch isn't available, implement strict input validation and consider a WAF.
Yes, a proof-of-concept exploit is publicly available, increasing the likelihood of active exploitation.
Refer to the official YiFang CMS website or security mailing lists for the latest advisory regarding CVE-2026-2932.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.