CVE-2026-44377: RCE en CubeCart v6 a través de SSTI
Plataforma
php
Componente
cubecart-v6
Corregido en
6.7.0
Se ha descubierto una vulnerabilidad de Inyección de Plantillas del Lado del Servidor (SSTI) autenticada en CubeCart v6, afectando a las versiones 6.0.0 hasta la 6.6.9. Esta falla permite a un atacante autenticado con privilegios administrativos ejecutar código arbitrario en el servidor a través de la evaluación insegura de la entrada del usuario en el motor de plantillas Smarty. La vulnerabilidad se corrige en la versión 6.7.0 y se recomienda actualizar inmediatamente.
Impacto y Escenarios de Ataque
La explotación exitosa de esta vulnerabilidad permite a un atacante autenticado con privilegios administrativos tomar el control completo del servidor CubeCart. Un atacante podría leer archivos de configuración sensibles, como la base de datos, utilizando funciones como readgzfile(). Más preocupante aún, pueden desplegar un webshell PHP, lo que les permite ejecutar comandos arbitrarios en el sistema operativo subyacente. Esto podría resultar en la exfiltración de datos, la modificación de la base de datos, la instalación de malware o el uso del servidor como punto de apoyo para ataques posteriores. La naturaleza autenticada de la vulnerabilidad significa que un atacante debe tener acceso a una cuenta de administrador válida para explotarla, pero una vez comprometida, el impacto es severo.
Contexto de Explotación
Esta vulnerabilidad ha sido publicada recientemente (2026-05-13) y su severidad es crítica (CVSS 9.1). No se ha reportado públicamente la explotación activa de esta vulnerabilidad en campañas específicas, pero la disponibilidad de la descripción técnica y la facilidad de explotación la convierten en un objetivo potencial. Se recomienda monitorear de cerca los foros de seguridad y los recursos de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada. La vulnerabilidad se considera de alta probabilidad de explotación debido a su gravedad y la falta de una solución inmediata para todos los usuarios.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Cambiado — el ataque puede pivotar a otros sistemas más allá del componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para esta vulnerabilidad es actualizar CubeCart a la versión 6.7.0, que incluye la corrección. Si la actualización inmediata no es posible, considere las siguientes medidas provisionales. Revise los permisos de usuario para garantizar que solo los usuarios autorizados tengan privilegios administrativos. Implemente un firewall de aplicaciones web (WAF) con reglas para detectar y bloquear intentos de inyección de plantillas. Monitoree los registros del servidor en busca de patrones sospechosos, como llamadas a funciones PHP inusuales dentro de las plantillas. Si es posible, desactive temporalmente las funciones de plantillas afectadas (Email Templates y Documents) hasta que se pueda aplicar la actualización. Después de la actualización, confirme que la vulnerabilidad se ha solucionado revisando los registros del servidor y realizando pruebas de penetración básicas.
Cómo corregirlotraduciendo…
Actualice CubeCart a la versión 6.7.0 o posterior para mitigar la vulnerabilidad de inyección de plantillas del lado del servidor (SSTI). Esta actualización corrige la forma en que se evalúan las plantillas, evitando la ejecución de código PHP no autorizado a través de la entrada del usuario.
Preguntas frecuentes
What is CVE-2026-44377 — RCE en CubeCart v6?
CVE-2026-44377 es una vulnerabilidad de Ejecución Remota de Código (RCE) en CubeCart v6, que permite a un atacante autenticado ejecutar código arbitrario en el servidor a través de una inyección de plantillas del lado del servidor (SSTI).
Am I affected by CVE-2026-44377 in CubeCart v6?
Sí, si está utilizando CubeCart v6.0.0 hasta la 6.6.9, es vulnerable a esta vulnerabilidad. Actualice a la versión 6.7.0 para solucionar el problema.
How do I fix CVE-2026-44377 in CubeCart v6?
La solución es actualizar CubeCart a la versión 6.7.0. Si no puede actualizar inmediatamente, implemente medidas provisionales como un WAF y la revisión de permisos de usuario.
Is CVE-2026-44377 being actively exploited?
Aunque no se han reportado explotaciones activas, la vulnerabilidad es crítica y de alta probabilidad de explotación debido a su facilidad de explotación y la falta de una solución inmediata para todos los usuarios.
Where can I find the official CubeCart advisory for CVE-2026-44377?
Consulte el sitio web oficial de CubeCart o su canal de comunicación de seguridad para obtener la información más reciente y las actualizaciones sobre esta vulnerabilidad.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...