Plataforma
php
Componente
admidio
Corregido en
5.0.9
Se ha identificado una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Admidio, una solución de gestión de usuarios de código abierto. Esta falla permite a un usuario autenticado modificar datos de inventario arbitrarios sin la protección de tokens CSRF ni las validaciones del lado del servidor. La vulnerabilidad afecta a versiones de Admidio anteriores a la 5.0.8 y ha sido corregida en la versión 5.0.8.
Un atacante puede explotar esta vulnerabilidad para modificar datos de inventario de manera no autorizada. Esto podría incluir la alteración de descripciones de productos, precios, cantidades en stock o cualquier otro dato almacenado en el módulo de inventario. Dado que la validación CSRF está completamente omitida, un atacante podría inducir a un usuario legítimo a realizar una solicitud POST maliciosa, comprometiendo la integridad de los datos del inventario. La falta de validación de datos también permite la inyección de valores inesperados, lo que podría llevar a comportamientos inesperados en la aplicación o incluso a la corrupción de la base de datos.
Esta vulnerabilidad fue publicada el 31 de marzo de 2026. No se ha reportado explotación activa en campañas conocidas. La probabilidad de explotación se considera media, dado que requiere autenticación y conocimiento del endpoint vulnerable. No se ha añadido a la lista KEV de CISA al momento de la publicación.
Organizations utilizing Admidio for user management, particularly those with custom inventory configurations or sensitive data stored within the inventory module, are at risk. Shared hosting environments where multiple users share the same Admidio instance are also particularly vulnerable, as an attacker could potentially exploit the vulnerability through another user's session.
• php: Examine Admidio logs for POST requests to /admidio/inventory/item_save.php with the imported=true parameter.
grep 'imported=true' /var/log/apache2/access.log | grep '/admidio/inventory/item_save.php'• generic web: Monitor access logs for requests to /admidio/inventory/item_save.php with the imported=true parameter.
grep 'imported=true' /var/log/nginx/access.log | grep '/admidio/inventory/item_save.php'disclosure
Estado del Exploit
EPSS
0.03% (8% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Admidio a la versión 5.0.8 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales. Aunque no es una solución completa, se pueden considerar reglas de Web Application Firewall (WAF) para filtrar solicitudes POST sospechosas al endpoint item_save. Además, se debe revisar la configuración de Admidio para asegurar que las políticas de seguridad sean lo más restrictivas posible. Después de la actualización, confirme que la validación CSRF está activa revisando el código fuente o utilizando herramientas de pruebas de seguridad.
Actualizar Admidio a la versión 5.0.8 o superior. Esta versión corrige la vulnerabilidad CSRF y la omisión de la validación de formularios en el módulo de inventario. La actualización asegura que las peticiones estén protegidas contra ataques CSRF y que los datos del inventario sean validados correctamente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34383 es una vulnerabilidad de Cross-Site Request Forgery (CSRF) en Admidio, que permite a usuarios autenticados modificar datos de inventario sin validación.
Si está utilizando una versión de Admidio anterior a 5.0.8, es vulnerable a esta vulnerabilidad de CSRF.
Actualice Admidio a la versión 5.0.8 o superior para corregir la vulnerabilidad. Considere reglas WAF como mitigación temporal.
No se ha reportado explotación activa en campañas conocidas, pero la probabilidad de explotación es media.
Consulte el sitio web oficial de Admidio o su canal de comunicación de seguridad para obtener la información más reciente sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.