Plataforma
php
Corregido en
2.0.6
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en YiFang CMS, específicamente en la función de actualización del archivo app/db/admin/D_singlePageGroup.php. Esta falla permite a un atacante inyectar scripts maliciosos mediante la manipulación del argumento 'Name', lo que podría resultar en la ejecución de código arbitrario en el navegador de un usuario. La vulnerabilidad afecta a las versiones 2.0.5–2.0.5 y el exploit ya ha sido publicado.
La explotación exitosa de esta vulnerabilidad XSS permite a un atacante ejecutar scripts maliciosos en el contexto del usuario autenticado en YiFang CMS. Esto puede llevar al robo de cookies de sesión, redirección a sitios web maliciosos, o la modificación del contenido de la página web. Un atacante podría utilizar esta vulnerabilidad para obtener acceso no autorizado a información confidencial o para comprometer la integridad del sitio web. Dado que el exploit es público, el riesgo de explotación es considerable.
El exploit para esta vulnerabilidad ha sido publicado, lo que aumenta significativamente el riesgo de explotación. Aunque la CVSS score es LOW (3.5), la disponibilidad pública del exploit la convierte en una amenaza activa. No se ha reportado su inclusión en el KEV catalog de CISA a la fecha. Se recomienda monitorear activamente los sistemas para detectar signos de explotación.
Websites and applications utilizing YiFang CMS 2.0.5–2.0.5 are at risk. This includes organizations hosting their own YiFang CMS instances, as well as shared hosting environments where multiple users may be running the CMS. Administrators and users with access to the CMS admin panel are particularly vulnerable.
• php: Examine the app/db/admin/D_singlePageGroup.php file for unsanitized input handling of the Name parameter. Search for code that directly outputs this parameter without proper encoding.
// Example of vulnerable code
<?php
echo $_POST['Name']; // Vulnerable to XSS
?>• generic web: Monitor access logs for requests containing suspicious JavaScript payloads in the Name parameter of URLs targeting the D_singlePageGroup.php file.
• generic web: Check response headers for signs of XSS activity, such as the presence of injected JavaScript code.
disclosure
Estado del Exploit
EPSS
0.03% (7% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar YiFang CMS a una versión corregida, si está disponible. Si la actualización no es posible de inmediato, se recomienda implementar medidas de validación de entrada en el archivo app/db/admin/D_singlePageGroup.php para sanitizar el argumento 'Name' y prevenir la inyección de código malicioso. Además, se pueden configurar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones sospechosos de XSS. Verifique que la configuración de seguridad del servidor web sea la más restrictiva posible.
Actualizar a una versión parcheada de YiFang CMS que solucione la vulnerabilidad de Cross-Site Scripting (XSS). Dado que el proveedor no ha respondido, se recomienda buscar parches no oficiales o considerar la migración a un CMS más seguro y mantenido activamente.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-3743 is a cross-site scripting (XSS) vulnerability in YiFang CMS versions 2.0.5–2.0.5, allowing attackers to inject malicious scripts via the Name parameter in app/db/admin/D_singlePageGroup.php.
If you are running YiFang CMS version 2.0.5–2.0.5, you are potentially affected by this vulnerability. Upgrade to a patched version as soon as it becomes available.
The recommended fix is to upgrade to a patched version of YiFang CMS. Until a patch is released, implement input validation and sanitization or use a WAF to mitigate the risk.
A public exploit is available, indicating a high probability of active exploitation. Monitor your systems for suspicious activity.
As of the disclosure date, YiFang CMS has not released an official advisory. Monitor their website and security mailing lists for updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.