Plataforma
php
Componente
code-projects-simple-content-management-system
Corregido en
1.0.1
Se ha identificado una vulnerabilidad de Cross-Site Scripting (XSS) en Simple Content Management System, versiones 1.0.0 a 1.0. Esta debilidad reside en el archivo /web/admin/welcome.php y permite la ejecución de scripts maliciosos a través de la manipulación del argumento 'News Title'. La vulnerabilidad es explotable de forma remota y ya ha sido divulgada públicamente, lo que aumenta el riesgo de ataques.
Un atacante puede explotar esta vulnerabilidad XSS inyectando código JavaScript malicioso en el campo 'News Title' del panel de administración. Cuando un usuario legítimo visita la página /web/admin/welcome.php, el script inyectado se ejecuta en su navegador, permitiendo al atacante robar cookies de sesión, redirigir al usuario a sitios web maliciosos o modificar el contenido de la página. El impacto puede variar desde el robo de información sensible hasta la toma del control de la cuenta de administrador, comprometiendo la integridad y confidencialidad del sistema. La disponibilidad del exploit público facilita su uso por parte de atacantes con diferentes niveles de habilidad.
La vulnerabilidad CVE-2026-6184 ha sido divulgada públicamente el 13 de abril de 2026, y un proof-of-concept (PoC) está disponible, lo que indica una alta probabilidad de explotación. La disponibilidad pública del exploit aumenta significativamente el riesgo. La puntuación CVSS de 2.4 (LOW) sugiere que, aunque la vulnerabilidad es explotable, el impacto potencial es relativamente limitado, pero la facilidad de explotación mitiga este riesgo.
Administrators of Simple Content Management System instances running versions 1.0.0 through 1.0 are at direct risk. Shared hosting environments utilizing this CMS are particularly vulnerable, as a compromised account could potentially impact other websites hosted on the same server. Those who have not implemented robust input validation practices are also at increased risk.
• php / server:
grep -r "News Title" /var/www/html/web/admin/welcome.php• generic web:
curl -I http://your-website.com/web/admin/welcome.php?News+Title=<script>alert(1)</script>disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar Simple Content Management System a una versión corregida, tan pronto como esté disponible. Mientras tanto, se recomienda implementar medidas de seguridad adicionales. Una posible solución temporal es validar y sanitizar rigurosamente la entrada del usuario en el campo 'News Title', eliminando o escapando cualquier carácter potencialmente peligroso. Además, se puede configurar un Web Application Firewall (WAF) para bloquear solicitudes que contengan patrones de inyección de script. Monitorear los registros del servidor en busca de patrones sospechosos, como solicitudes con caracteres inusuales en los parámetros de la URL, también puede ayudar a detectar y prevenir ataques.
Actualice el Simple Content Management System a una versión corregida. Verifique el sitio web del proveedor o los foros de la comunidad para obtener información sobre las actualizaciones disponibles. Como medida temporal, puede deshabilitar la entrada de 'News Title' o aplicar una validación de entrada estricta para evitar la inyección de código malicioso.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-6184 is a cross-site scripting (XSS) vulnerability affecting Simple Content Management System versions 1.0.0–1.0, allowing attackers to inject malicious scripts via the News Title parameter.
You are affected if you are running Simple Content Management System version 1.0.0–1.0 and have not applied a patch or implemented mitigating controls.
Upgrade to a patched version of Simple Content Management System as soon as it becomes available. Until then, implement input validation and consider using a WAF.
While active campaigns are not confirmed, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the Simple Content Management System website or security mailing list for the official advisory regarding CVE-2026-6184.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.