Plataforma
laravel
Componente
filamentphp/filament
Corregido en
4.0.1
5.0.1
CVE-2026-33080 describe una vulnerabilidad de Cross-Site Scripting (XSS) en Filament, un conjunto de componentes full-stack para el desarrollo acelerado de aplicaciones Laravel. Esta vulnerabilidad permite a un atacante inyectar código HTML o JavaScript malicioso a través de los resumidores Range y Values en las tablas de Filament, si no se valida correctamente los datos en las columnas afectadas. La vulnerabilidad afecta a versiones de Filament entre 4.0.0 y 4.8.4, así como a las versiones 5.0.0 hasta 5.3.4. Se ha solucionado en la versión 4.8.5 y 5.3.5.
Un atacante puede explotar esta vulnerabilidad para ejecutar código JavaScript arbitrario en el navegador de cualquier usuario que acceda a la tabla Filament vulnerable. Esto podría permitir al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso modificar el contenido de la página web. El impacto es significativo, ya que la XSS puede comprometer la confidencialidad, integridad y disponibilidad de la aplicación Laravel. La falta de validación de datos en las columnas utilizadas por los resumidores Range y Values es la causa principal de esta vulnerabilidad, permitiendo la inyección de código malicioso sin una adecuada sanitización.
La vulnerabilidad fue publicada el 20 de marzo de 2026. No se ha reportado explotación activa en entornos de producción, pero la naturaleza de la XSS la convierte en un objetivo atractivo para los atacantes. La disponibilidad de un PoC público podría acelerar la explotación. Se recomienda monitorear los sistemas afectados y aplicar las mitigaciones lo antes posible.
Laravel applications utilizing Filament versions 4.0.0 through 5.3.4 are at risk. Specifically, applications that display user-controlled data in Filament Table components using the Range or Values summarizers are particularly vulnerable. Shared hosting environments where multiple Laravel applications share the same server resources could also be impacted if one application is vulnerable and can inject malicious code that affects other applications.
• laravel / wordpress: Examine Filament Table components for suspicious HTML or JavaScript code. Review application logs for unusual activity related to table rendering. • generic web: Use curl/wget to inspect the rendered HTML of Filament tables, looking for injected script tags or event handlers.
curl 'https://your-laravel-app.com/filament/table' | grep -i '<script>' disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 4.8.5 o superior de Filament, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de validación de datos en las columnas que utilizan los resumidores Range y Values para prevenir la inyección de código malicioso. Además, se pueden aplicar reglas en un Web Application Firewall (WAF) para filtrar el tráfico que contenga código HTML o JavaScript sospechoso. Es crucial revisar y fortalecer las políticas de validación de datos en la aplicación Laravel para evitar futuras vulnerabilidades de XSS.
Actualice Filament a la versión 4.8.5 o superior si está utilizando la serie 4.x, o a la versión 5.3.5 o superior si está utilizando la serie 5.x. Esto corrige la vulnerabilidad XSS almacenada al escapar correctamente los valores de la base de datos renderizados por los summarizers Range y Values de las tablas de Filament. Asegúrese de validar los datos de entrada para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33080 is a cross-site scripting (XSS) vulnerability affecting Filament versions 4.0.0–>= 5.0.0, < 5.3.5. It allows attackers to inject malicious scripts through unescaped HTML in Table summarizers.
If you are using Filament versions 4.0.0 through 5.3.4 and display user-controlled data in Filament Table components using the Range or Values summarizers, you are potentially affected.
Upgrade to Filament version 4.8.5 or 5.3.5. As a temporary workaround, validate input or disable the vulnerable summarizers.
While no public exploits are currently known, the vulnerability's ease of exploitation makes active exploitation possible.
Refer to the official Filament security advisory for details: [https://filamentphp.com/docs/security]
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo composer.lock y te decimos al instante si estás afectado.