CVE-2026-45055: SSRF in CubeCart v6
Plataforma
php
Componente
cubecart-v6
Corregido en
6.7.2
La vulnerabilidad CVE-2026-45055 es una falla de Server-Side Request Forgery (SSRF) presente en CubeCart v6, específicamente en las versiones 6.6.0 hasta 6.7.1. Esta falla permite a un atacante inyectar URLs maliciosas en enlaces de restablecimiento de contraseña enviados por correo electrónico, comprometiendo potencialmente la seguridad de las cuentas de usuario. La vulnerabilidad fue publicada el 13 de mayo de 2026 y se ha solucionado en la versión 6.7.2.
Impacto y Escenarios de Ataque
Un atacante puede explotar esta vulnerabilidad enviando una solicitud POST a /index.php?_a=recover con una cabecera Host maliciosa. CubeCart, sin una validación adecuada, incorpora esta cabecera directamente en los enlaces de restablecimiento de contraseña enviados por correo electrónico. Esto significa que el enlace contendrá la URL maliciosa proporcionada por el atacante. Si un usuario hace clic en este enlace, su navegador se dirigirá a la URL controlada por el atacante, permitiéndole potencialmente robar credenciales o realizar otras acciones maliciosas. El impacto se amplifica porque el restablecimiento de contraseña se utiliza a menudo como un vector de ataque para la toma de control de cuentas. La falta de una lista blanca para la cabecera Host es la causa raíz de la vulnerabilidad, permitiendo que cualquier valor proporcionado por el usuario sea utilizado sin validación.
Contexto de Explotación
La vulnerabilidad CVE-2026-45055 no figura en KEV (Known Exploited Vulnerabilities) al momento de la publicación. La puntuación CVSS de 8.1 (ALTO) indica una probabilidad de explotación moderada a alta. No se han reportado públicamente exploits o campañas activas dirigidas a esta vulnerabilidad, pero la naturaleza de SSRF la hace potencialmente atractiva para atacantes. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Ninguno — sin autenticación. No se necesitan credenciales para explotar.
- User Interaction
- Requerida — la víctima debe abrir un archivo, hacer clic en un enlace o visitar una página.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Ninguno — sin impacto en disponibilidad.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La solución principal es actualizar CubeCart a la versión 6.7.2 o posterior, que corrige la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar una lista blanca (allowlist) para la cabecera Host en el código fuente de CubeCart. Esto restringirá las URLs permitidas, evitando la inyección de URLs maliciosas. Como medida temporal, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes con cabeceras Host sospechosas. Es crucial revisar la configuración de CubeCart para asegurar que no haya otras áreas donde la cabecera Host se utilice sin validación. Después de la actualización o implementación de la mitigación, verifique que los enlaces de restablecimiento de contraseña generados no contengan URLs maliciosas.
Cómo corregirlotraduciendo…
Actualice CubeCart a la versión 6.7.2 o superior para mitigar la vulnerabilidad de envenenamiento de enlaces de restablecimiento de contraseña. Esta actualización corrige la forma en que se construye la URL de restablecimiento de contraseña, evitando que los atacantes redirijan a dominios maliciosos y potencialmente tomen el control de las cuentas de usuario o del administrador.
Preguntas frecuentes
What is CVE-2026-45055 — SSRF in CubeCart v6?
CVE-2026-45055 es una vulnerabilidad de SSRF en CubeCart v6 (versiones 6.6.0 a 6.7.1) que permite a atacantes inyectar URLs maliciosas en enlaces de restablecimiento de contraseña.
Am I affected by CVE-2026-45055 in CubeCart v6?
Sí, si está utilizando CubeCart v6 en las versiones 6.6.0 hasta 6.7.1, es vulnerable a esta falla de SSRF.
How do I fix CVE-2026-45055 in CubeCart v6?
Actualice CubeCart a la versión 6.7.2 o implemente una lista blanca para la cabecera Host en el código fuente.
Is CVE-2026-45055 being actively exploited?
No se han reportado públicamente exploits activos, pero la naturaleza de SSRF la hace potencialmente atractiva para atacantes.
Where can I find the official CubeCart advisory for CVE-2026-45055?
Consulte el sitio web oficial de CubeCart o su blog de seguridad para obtener la información más reciente sobre esta vulnerabilidad.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...