Plataforma
php
Componente
opensource-workshop/connect-cms
Corregido en
1.35.1
2.35.1
1.41.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en el plugin Cabinet de connect-cms, un sistema de gestión de contenidos (CMS) de código abierto desarrollado por open-source-workshop. Esta vulnerabilidad, de tipo DOM-based XSS, permite a un atacante ejecutar scripts maliciosos en el navegador de un usuario vulnerable. Afecta a las versiones 1.x (≥ 1.35.0 y ≤ 1.41.0) y 2.x (≥ 2.35.0 y ≤ 2.41.0), siendo ya disponible una corrección en las versiones 1.41.1 y 2.41.1.
La vulnerabilidad XSS en connect-cms permite a un atacante inyectar código JavaScript malicioso en la vista de lista del plugin Cabinet. Al ser un XSS de tipo DOM-based, la inyección se realiza directamente en el código del lado del cliente, sin necesidad de manipular el código fuente del servidor. Si un usuario visita una página comprometida, el script malicioso se ejecutará en su navegador, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o realizar acciones en su nombre. El impacto potencial incluye el robo de información confidencial, la suplantación de identidad y el control del navegador del usuario.
La vulnerabilidad CVE-2026-32277 fue publicada el 23 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas en el momento de la redacción. Aunque no se han publicado pruebas de concepto (PoCs) públicas, la naturaleza de la vulnerabilidad XSS la hace potencialmente explotable. Se recomienda a los administradores de sistemas que apliquen las medidas de mitigación lo antes posible.
Organizations using connect-cms with the Cabinet Plugin in versions 1.35.0 through 1.41.0 or 2.35.0 through 2.41.0 are at risk. This includes those deploying connect-cms in shared hosting environments, as vulnerabilities in plugins can potentially impact multiple users. Legacy configurations that haven't been regularly updated are also particularly vulnerable.
• php: Examine connect-cms application logs for unusual JavaScript execution patterns or error messages related to the Cabinet Plugin.
grep -i 'XSS|javascript' /var/log/apache2/error.log• generic web: Use curl to test the Cabinet Plugin list view with various payloads containing JavaScript code.
curl 'http://your-connect-cms-site/cabinet-plugin/list?name=<script>alert("XSS")</script>' -I• wordpress: (If connect-cms is built on WordPress) Review WordPress plugin files for any modifications or suspicious code related to the Cabinet Plugin. Use grep to search for potentially malicious code.
grep -r 'alert(' /var/www/html/wp-content/plugins/cabinet-plugin/disclosure
Estado del Exploit
EPSS
0.03% (10% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión parcheada de connect-cms, ya sea 1.41.1 o 2.41.1. Si la actualización inmediata no es posible, se recomienda implementar medidas de seguridad adicionales. Estas pueden incluir la validación y el saneamiento de todas las entradas de usuario antes de renderizarlas en la vista de lista del plugin Cabinet. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de inyección de código JavaScript. La monitorización de los logs del servidor en busca de patrones de actividad inusual también puede ayudar a detectar y responder a posibles ataques.
Actualice Connect-CMS a la versión 1.41.1 o 2.41.1, o posterior, para corregir la vulnerabilidad XSS en el plugin Cabinet. La actualización contiene un parche que soluciona el problema de seguridad.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32277 is a DOM-based Cross-Site Scripting (XSS) vulnerability in the Cabinet Plugin of connect-cms, allowing attackers to execute JavaScript in a user's browser.
You are affected if you are using connect-cms with the Cabinet Plugin in versions 1.x (≥ 1.35.0 ≤ 1.41.0) or 2.x (≥ 2.35.0 ≤ 2.41.0).
Upgrade the Cabinet Plugin to version 1.41.1 or 2.41.1. Consider WAF rules as a temporary workaround.
There is currently no evidence of CVE-2026-32277 being actively exploited in the wild.
Refer to the connect-cms security advisory for details: [https://opensource-workshop.github.io/connect-cms/security/advisories/cabinet-plugin-dom-based-xss.html]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.