CVE-2026-45708: RCE en CubeCart v6
Plataforma
php
Componente
cubecart-v6
Corregido en
6.7.3
La vulnerabilidad CVE-2026-45708 es una falla de Ejecución Remota de Código (RCE) que afecta a CubeCart v6, una solución de software de comercio electrónico. Un administrador con permisos de edición de documentos puede inyectar código PHP malicioso en el editor de facturas. Este código se ejecuta al imprimir cualquier pedido, lo que permite a un atacante ejecutar código arbitrario en el servidor. La vulnerabilidad afecta a las versiones 6.0.0 hasta la 6.7.2, y ha sido corregida en la versión 6.7.3.
Impacto y Escenarios de Ataque
Esta vulnerabilidad permite a un atacante con permisos de administrador (o acceso a una cuenta de administrador) inyectar código PHP malicioso en el sistema CubeCart. Al imprimir cualquier pedido, el código inyectado se ejecuta, lo que permite al atacante tomar el control del servidor. Esto podría incluir la modificación de datos de clientes, la exfiltración de información sensible, la instalación de malware o el uso del servidor como punto de apoyo para atacar otros sistemas. La vulnerabilidad se aprovecha de una configuración incorrecta en el archivo .htaccess que permite la ejecución de archivos PHP generados en el directorio 'files/print'. La ejecución del código inyectado no requiere autenticación, lo que amplía significativamente el riesgo.
Contexto de Explotación
La vulnerabilidad CVE-2026-45708 fue publicada el 13 de mayo de 2026. La probabilidad de explotación se considera media debido a la relativa facilidad de explotación y la disponibilidad de CubeCart en entornos de hosting compartido. No se han reportado campañas de explotación activas a la fecha, pero la falta de autenticación requerida para la ejecución del código inyectado aumenta el riesgo. Se recomienda monitorear los registros del servidor en busca de actividad sospechosa.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Baja — sin condiciones especiales. El atacante puede explotar de forma confiable sin configuraciones raras.
- Privileges Required
- Alto — se requiere cuenta de administrador o privilegiada.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2026-45708 es actualizar CubeCart a la versión 6.7.3 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización a la versión 6.7.3 causa problemas de compatibilidad, considere realizar una copia de seguridad completa de la base de datos y los archivos del sitio antes de actualizar. Como medida temporal, se puede restringir el acceso al directorio 'files/print' a través de reglas de firewall o WAF, bloqueando el acceso a archivos con la extensión '.php'. Además, revise los permisos de los usuarios de CubeCart para asegurar que solo los administradores autorizados tengan acceso a la edición de documentos.
Cómo corregirlotraduciendo…
Actualice CubeCart a la versión 6.7.3 o posterior para mitigar esta vulnerabilidad. La actualización corrige la forma en que se manejan las plantillas de factura, evitando la ejecución remota de código no autorizada.
Preguntas frecuentes
¿Qué es CVE-2026-45708 — RCE en CubeCart v6?
CVE-2026-45708 es una vulnerabilidad de Ejecución Remota de Código (RCE) en CubeCart v6 que permite a un atacante ejecutar código arbitrario en el servidor al imprimir pedidos. Afecta a las versiones 6.0.0 hasta 6.7.2.
¿Estoy afectado por CVE-2026-45708 en CubeCart v6?
Si está utilizando CubeCart v6 en una versión anterior a 6.7.3, es vulnerable a esta vulnerabilidad. Verifique la versión instalada y aplique la actualización lo antes posible.
¿Cómo soluciono CVE-2026-45708 en CubeCart v6?
La solución es actualizar CubeCart a la versión 6.7.3 o superior. Realice una copia de seguridad completa antes de actualizar y considere restricciones de acceso al directorio 'files/print' como medida temporal.
¿Se está explotando activamente CVE-2026-45708?
Aunque no se han reportado campañas de explotación activas, la vulnerabilidad es fácilmente explotable y la falta de autenticación aumenta el riesgo. Se recomienda monitorear los registros del servidor.
¿Dónde puedo encontrar el aviso oficial de CubeCart para CVE-2026-45708?
Consulte el sitio web de CubeCart o su canal de seguridad para obtener información oficial sobre la vulnerabilidad y las actualizaciones disponibles. Busque información sobre la versión 6.7.3.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Pruébalo ahora — sin cuenta
Sube cualquier manifiesto (composer.lock, package-lock.json, lista de plugins WordPress…) o pega tu lista de componentes. Recibís un reporte de vulnerabilidades al instante. Subir un archivo es solo el primer paso: con una cuenta tenés monitoreo continuo, alertas en tu canal, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...