Plataforma
php
Corregido en
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
2.0.6
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en YiFang CMS hasta la versión 2.0.5. Esta debilidad reside en la función 'update' del archivo app/db/admin/D_adManage.php, perteneciente al módulo Extended Management Module. La manipulación del argumento 'Name' puede permitir la ejecución de código malicioso en el contexto del usuario.
Un atacante puede explotar esta vulnerabilidad para inyectar scripts maliciosos en las páginas de YiFang CMS. Esto podría permitir el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. El impacto es significativo, ya que un atacante podría comprometer la confidencialidad e integridad de la aplicación y los datos de los usuarios. La disponibilidad del PoC público aumenta el riesgo de explotación rápida.
Esta vulnerabilidad ha sido publicada y un Proof of Concept (PoC) está disponible públicamente, lo que indica una alta probabilidad de explotación. La vulnerabilidad fue publicada el 22 de febrero de 2026. No se ha añadido a KEV ni se ha confirmado explotación activa a la fecha, pero la disponibilidad del PoC sugiere que podría ser explotada en breve.
Websites and applications utilizing YiFang CMS versions 2.0.0 through 2.0.5 are at risk. This includes organizations hosting their own YiFang CMS installations, as well as shared hosting environments where YiFang CMS is deployed. Administrators and users with access to the Extended Management Module are particularly vulnerable.
• php: Examine the app/db/admin/D_adManage.php file for unsanitized input handling of the 'Name' parameter. Search for instances where user-supplied data is directly outputted to the HTML without proper encoding.
// Example of vulnerable code
<p><?php echo $_POST['Name']; ?></p>• generic web: Monitor access logs for unusual requests targeting app/db/admin/D_adManage.php with suspicious parameters in the 'Name' field. Look for patterns indicative of XSS payloads.
grep "<script" /var/log/apache2/access.log• generic web: Check response headers for signs of XSS injection. Look for unexpected JavaScript code in the HTML source.
curl -I https://example.com/app/db/admin/D_adManage.php?Name=<script>alert(1)</script>disclosure
poc
kev
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a una versión corregida de YiFang CMS, aunque no se ha especificado una versión fija. Mientras tanto, se recomienda implementar validación y saneamiento rigurosos de todas las entradas de usuario, especialmente el argumento 'Name' en el archivo app/db/admin/D_adManage.php. Implementar una Web Application Firewall (WAF) con reglas para bloquear inyecciones XSS puede proporcionar una capa adicional de protección. Revisar los logs del servidor en busca de patrones de inyección de scripts.
Actualizar YiFang CMS a una versión posterior a la 2.0.5 para corregir la vulnerabilidad XSS en el módulo de gestión extendida. Si no es posible actualizar, se recomienda deshabilitar o eliminar el módulo afectado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2933 is a cross-site scripting (XSS) vulnerability affecting YiFang CMS versions 2.0.0–2.0.5, allowing attackers to inject malicious scripts via the 'Name' parameter in the Extended Management Module.
If you are using YiFang CMS versions 2.0.0 through 2.0.5, you are potentially affected by this vulnerability. Assess your environment and upgrade as soon as possible.
The recommended fix is to upgrade YiFang CMS to a patched version. If immediate upgrade is not possible, implement input validation and sanitization or use a WAF.
Due to the public availability of a proof-of-concept, CVE-2026-2933 is considered to be at high risk of exploitation.
Refer to the official YiFang CMS website or security advisories for the latest information and updates regarding CVE-2026-2933.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.