Plataforma
php
Corregido en
2.0.1
2.0.2
2.0.3
2.0.4
2.0.5
2.0.6
Se ha identificado una vulnerabilidad de tipo Cross-Site Scripting (XSS) en YiFang CMS hasta la versión 2.0.5. Esta falla afecta a la función de actualización del archivo app/db/admin/D_friendLinkGroup.php, perteneciente al módulo Extended Management Module. La manipulación del argumento 'Name' permite la inyección de código malicioso. La vulnerabilidad es explotable de forma remota y ya ha sido divulgada públicamente.
Un atacante puede aprovechar esta vulnerabilidad XSS para inyectar scripts maliciosos en las páginas web de YiFang CMS. Esto podría resultar en el robo de cookies de sesión, la redirección de usuarios a sitios web maliciosos, o la modificación del contenido de la página web. El impacto potencial incluye la comprometer la confidencialidad, integridad y disponibilidad de la aplicación y los datos de los usuarios. La naturaleza remota de la explotación facilita su uso por parte de atacantes con diferentes niveles de habilidad.
La vulnerabilidad CVE-2026-2934 ha sido divulgada públicamente el 22 de febrero de 2026. Existe un Proof of Concept (PoC) disponible, lo que facilita su explotación. La probabilidad de explotación se considera alta debido a la facilidad de uso del PoC y la disponibilidad pública de la información. No se ha reportado explotación activa a gran escala, pero el riesgo es significativo.
Websites and applications utilizing YiFang CMS versions 2.0.0 through 2.0.5 are at risk. Specifically, sites with publicly accessible admin panels or those allowing user-supplied input to be stored in the database without proper sanitization are particularly vulnerable. Shared hosting environments running YiFang CMS are also at increased risk due to potential cross-tenant vulnerabilities.
• wordpress / composer / npm:
grep -r "D_friendLinkGroup.php" /var/www/yi-fang-cms/• generic web:
curl -I https://example.com/app/db/admin/D_friendLinkGroup.php | grep -i "X-Powered-By: PHP"disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar YiFang CMS a una versión corregida, una vez disponible. Mientras tanto, se recomienda implementar medidas de validación de entrada en el archivo app/db/admin/D_friendLinkGroup.php para sanitizar el argumento 'Name' y prevenir la inyección de scripts. Además, se puede considerar el uso de un Web Application Firewall (WAF) para filtrar el tráfico malicioso. Implementar políticas de seguridad de contenido (CSP) también puede ayudar a mitigar el riesgo.
Actualice YiFang CMS a una versión posterior a 2.0.5 que corrija la vulnerabilidad de Cross-Site Scripting (XSS) en el módulo Extended Management. Consulte el sitio web del proveedor para obtener la última versión y las instrucciones de actualización. Como medida temporal, valide y escape las entradas del usuario en el parámetro 'Name' en el archivo app/db/admin/D_friendLinkGroup.php.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-2934 is a cross-site scripting (XSS) vulnerability affecting YiFang CMS versions 2.0.0–2.0.5. It allows attackers to inject malicious scripts by manipulating the 'Name' argument in a specific file.
If you are using YiFang CMS versions 2.0.0 through 2.0.5, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as possible.
Upgrade YiFang CMS to a version that includes a fix for this vulnerability. Until then, implement input validation and consider using a WAF.
While there's no confirmed active exploitation, the public disclosure increases the risk of exploitation by opportunistic attackers.
Refer to the official YiFang CMS website or security advisories for the latest information and updates regarding CVE-2026-2934.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.