Plataforma
php
Componente
cubecart
Corregido en
6.6.1
Se ha identificado una vulnerabilidad de Path Traversal en CubeCart, afectando versiones desde 1.0.0 hasta la 6.5.9. Esta falla permite a usuarios con privilegios administrativos acceder a directorios del sistema que no deberían ser accesibles, comprometiendo potencialmente la confidencialidad de datos sensibles. La versión 6.6.0 corrige esta vulnerabilidad.
La vulnerabilidad de Path Traversal en CubeCart permite a un atacante, con acceso a una cuenta administrativa, manipular la ruta de archivos para acceder a recursos fuera del directorio web previsto. Esto podría incluir la lectura de archivos de configuración, código fuente, o incluso archivos del sistema operativo, exponiendo información confidencial. Un atacante podría, por ejemplo, acceder a archivos de base de datos o archivos de registro que contengan credenciales de usuario o información de transacciones. La gravedad del impacto depende del nivel de acceso que el atacante pueda obtener y de la sensibilidad de los datos almacenados en los directorios accesibles.
La vulnerabilidad CVE-2026-35496 fue publicada el 2026-04-17. Actualmente no se dispone de información sobre explotación activa o la existencia de un Proof of Concept (PoC) público. La evaluación de CVSS es de 2.7 (LOW), lo que indica una probabilidad de explotación relativamente baja, aunque el impacto potencial puede ser significativo si se explota con éxito.
Estado del Exploit
EPSS
0.06% (19% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-35496 es actualizar CubeCart a la versión 6.6.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización inmediata no es posible, se recomienda restringir el acceso a los directorios del servidor web y revisar cuidadosamente los permisos de los archivos. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan secuencias de caracteres sospechosas en la ruta de los archivos puede proporcionar una capa adicional de protección. Después de la actualización, verifique la integridad del sistema revisando los registros de acceso y buscando cualquier actividad inusual.
Actualice CubeCart a la versión 6.6.0 o posterior para mitigar la vulnerabilidad de recorrido de ruta. Esta actualización aborda la falla de seguridad al validar correctamente las entradas del usuario, evitando el acceso no autorizado a directorios sensibles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35496 is a Path Traversal vulnerability affecting CubeCart versions 1.0.0 through 6.5.9. It allows authenticated administrative users to potentially access unauthorized directories on the server.
You are affected if you are running CubeCart versions 1.0.0 through 6.5.9. Upgrade to version 6.6.0 or later to mitigate the vulnerability.
Upgrade CubeCart to version 6.6.0 or later. If immediate upgrade is not possible, implement stricter file access controls and consider a WAF.
As of the publication date, there is no indication of active exploitation campaigns targeting CVE-2026-35496.
Refer to the CubeCart security advisories page for the latest information: [https://www.cubecart.com/security/](https://www.cubecart.com/security/)
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.