Plataforma
javascript
Componente
notice-form-drawer-vue
Corregido en
3.0.1
3.1.1
3.2.1
3.3.1
3.4.1
3.5.1
3.6.1
3.7.1
3.8.1
3.9.1
3.10.1
3.11.1
3.12.1
3.13.1
3.14.1
3.15.1
3.16.1
3.17.1
3.18.1
3.19.1
3.20.1
3.21.1
3.22.1
3.23.1
3.24.1
3.25.1
3.26.1
3.27.1
3.28.1
3.29.1
3.0.1
3.1.1
3.2.1
3.3.1
3.4.1
3.5.1
3.6.1
3.7.1
3.8.1
3.9.1
3.10.1
3.11.1
3.12.1
3.13.1
3.14.1
3.15.1
3.16.1
3.17.1
3.18.1
3.19.1
3.20.1
3.21.1
3.22.1
3.23.1
3.24.1
3.25.1
3.26.1
3.27.1
3.28.1
3.29.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en SmartAdmin, desarrollado por 1024-lab. Esta falla afecta a las versiones 3.0 hasta la 3.29 y reside en el componente notice-form-drawer.vue dentro del módulo de Notificaciones. La explotación exitosa permite a un atacante inyectar scripts maliciosos en el navegador de un usuario, comprometiendo potencialmente la confidencialidad e integridad de la información.
La vulnerabilidad XSS en SmartAdmin permite a un atacante ejecutar código JavaScript arbitrario en el contexto del navegador de la víctima. Esto puede resultar en el robo de cookies de sesión, la redirección a sitios web maliciosos, la modificación del contenido de la página web o incluso la instalación de malware. Dado que el exploit es público, el riesgo de explotación es significativo. La falta de respuesta del proveedor agrava la situación, dejando a los usuarios sin soporte oficial para la mitigación de esta amenaza. Un atacante podría, por ejemplo, inyectar código para robar credenciales de inicio de sesión o realizar acciones en nombre del usuario afectado.
La vulnerabilidad CVE-2026-3720 ha sido publicada públicamente el 8 de marzo de 2026, y un Proof of Concept (PoC) está disponible, lo que indica una alta probabilidad de explotación. La falta de respuesta del proveedor 1024-lab aumenta la preocupación, ya que no hay información sobre parches o soluciones alternativas oficiales. No se ha añadido a KEV ni se ha reportado explotación activa a la fecha.
Organizations utilizing 1024-lab SmartAdmin versions 3.0 through 3.29 are at risk. Specifically, users who interact with the Notice Module are vulnerable to exploitation. Shared hosting environments where multiple users share the same SmartAdmin instance are particularly susceptible.
• javascript / web: Inspect network traffic for unusual JavaScript payloads originating from the notice-form-drawer.vue component. • generic web: Examine access logs for requests containing suspicious characters or patterns commonly associated with XSS attacks. • generic web: Review response headers for the presence of Content-Security-Policy (CSP) directives that could mitigate XSS vulnerabilities.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
Si bien no hay una versión corregida disponible, se recomienda implementar medidas de mitigación inmediatas. La primera línea de defensa es aplicar un filtro de entrada robusto para sanitizar cualquier dato proporcionado por el usuario antes de ser renderizado en la página web. Implementar una política de seguridad de contenido (CSP) estricta puede ayudar a mitigar el impacto de los ataques XSS al restringir las fuentes de las que se pueden cargar los scripts. Además, se recomienda monitorear los registros del servidor en busca de patrones sospechosos que puedan indicar un intento de explotación. La actualización a una versión futura de SmartAdmin, una vez que esté disponible, es la solución definitiva.
Actualice SmartAdmin a una versión posterior a la 3.9. Si no hay una versión disponible, revise el código en smart-admin-web-javascript/src/views/business/oa/notice/components/notice-form-drawer.vue y corrija las vulnerabilidades XSS. Asegúrese de escapar o limpiar las entradas del usuario antes de renderizarlas en la página.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3720 is a cross-site scripting (XSS) vulnerability affecting 1024-lab SmartAdmin versions 3.0–3.29, allowing attackers to inject malicious scripts via the Notice Module.
If you are using 1024-lab SmartAdmin versions 3.0 through 3.29, you are potentially affected by this vulnerability. Check your version and upgrade when a patch is available.
The recommended fix is to upgrade to a patched version of 1024-lab SmartAdmin. Until a patch is released, implement input validation and output encoding.
A public proof-of-concept exists, indicating a potential for active exploitation. Monitor your application for suspicious activity.
As of the publication date, no official advisory has been released by 1024-lab. Monitor their website and security mailing lists for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.