Plataforma
php
Componente
statamic/cms
Corregido en
6.0.1
5.73.15
6.7.0
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) almacenado en Statamic CMS, específicamente al subir archivos SVG. Esta vulnerabilidad permite a usuarios autenticados con permisos de subida de activos eludir la sanitización de SVG e inyectar código JavaScript malicioso. La vulnerabilidad afecta a versiones de Statamic CMS menores o iguales a v6.6.3 y ha sido resuelta en la versión 6.7.0.
La vulnerabilidad de XSS almacenado en Statamic CMS presenta un riesgo significativo. Un atacante, con los permisos necesarios para subir archivos SVG, puede subir un archivo SVG malicioso que contenga código JavaScript. Cuando otros usuarios visualizan este archivo SVG, el código JavaScript se ejecuta en su navegador. Esto permite al atacante robar cookies de sesión, redirigir a los usuarios a sitios web maliciosos, o incluso tomar control de la cuenta del usuario afectado. El impacto se amplifica si el atacante puede subir archivos SVG que se muestran en áreas de alta visibilidad dentro del CMS, afectando a un mayor número de usuarios.
La vulnerabilidad CVE-2026-33172 fue publicada el 18 de marzo de 2026. No se ha reportado explotación activa a la fecha. No se encuentra listada en el KEV de CISA. La disponibilidad de un Proof of Concept (PoC) público podría aumentar el riesgo de explotación.
Organizations using Statamic CMS with asset upload functionality enabled are at risk. This includes websites with user-generated content, e-commerce platforms allowing users to upload product images, and any site where authenticated users can upload SVG assets. Specifically, those running Statamic CMS versions prior to 6.7.0 are vulnerable.
• php / server:
find /var/www/statamic/assets -name '*.svg' -print0 | xargs -0 grep -i '<script' |• php / server:
journalctl -u php-fpm -f | grep -i "SVG sanitization bypass"• generic web: Check asset directories for suspicious SVG files with obfuscated JavaScript code. • generic web: Review access logs for requests containing SVG files with unusual parameters or user agents.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Statamic CMS a la versión 6.7.0 o superior, donde se ha solucionado el problema. Si la actualización inmediata no es posible, se recomienda restringir los permisos de subida de activos a un mínimo necesario. Además, implementar una validación estricta de los archivos SVG subidos, eliminando o sanitizando cualquier código JavaScript potencialmente malicioso. Considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes que contengan código SVG sospechoso. Monitorear los logs del servidor en busca de patrones de subida de archivos SVG inusuales.
Actualice Statamic a la versión 5.73.14 o 6.7.0 o superior. Esto corrige la vulnerabilidad XSS almacenada en la sanitización de SVG. La actualización evitará la inyección de JavaScript malicioso al visualizar los assets.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33172 is a stored XSS vulnerability in Statamic CMS, allowing authenticated users to inject malicious JavaScript through SVG asset reuploads.
You are affected if you are using Statamic CMS versions 6.6.3 or earlier. Upgrade to version 6.7.0 to mitigate the risk.
Upgrade Statamic CMS to version 6.7.0 or later. As a temporary workaround, restrict SVG uploads or implement stricter input validation.
There is currently no evidence of active exploitation, but the vulnerability's high severity warrants prompt remediation.
Please refer to the Statamic security advisory for detailed information and updates: [https://statamic.com/security/advisories](https://statamic.com/security/advisories)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.