Plateforme
php
Composant
icms2
Corrigé dans
2.18.2
Une vulnérabilité de Cross-Site Request Forgery (CSRF) a été découverte dans InstantCMS, un système de gestion de contenu open source. Cette faille permet à un attaquant d'effectuer des actions en tant qu'utilisateur authentifié sans son consentement. Elle affecte les versions d'InstantCMS inférieures ou égales à 2.18.1 et a été corrigée dans la version 2.18.1.
L'exploitation réussie de cette vulnérabilité CSRF permet à un attaquant de compromettre la sécurité d'un site InstantCMS. Un attaquant pourrait, par exemple, accorder des privilèges de modérateur à un utilisateur malveillant, lui permettant de modifier le contenu du site, de supprimer des données ou d'installer des extensions malveillantes. De plus, l'attaquant peut exécuter des tâches planifiées, déplacer des articles vers la corbeille, et accepter des demandes d'amis au nom de l'utilisateur, compromettant ainsi l'intégrité et la confidentialité des données. Bien qu'il n'y ait pas de rapport d'exploitation publique direct, la nature de la vulnérabilité CSRF la rend potentiellement exploitable dans des attaques ciblées.
Cette vulnérabilité a été rendue publique le 9 mars 2026. Elle n'est pas répertoriée sur le KEV de CISA à ce jour. Bien qu'aucun exploit public n'ait été divulgué, la nature de la vulnérabilité CSRF signifie qu'elle pourrait être exploitée par des attaquants disposant de connaissances techniques. La probabilité d'exploitation est considérée comme moyenne en raison de la simplicité de l'exploitation CSRF et de la popularité d'InstantCMS.
Organizations and individuals using InstantCMS versions prior to 2.18.1 are at risk. This includes websites and applications relying on InstantCMS for content management, particularly those with a large user base or sensitive data. Shared hosting environments using InstantCMS are also at increased risk due to the potential for cross-tenant exploitation.
• php / web:
curl -I <your_instantcms_url> | grep -i 'csrf-token'• php / web: Examine the source code for missing or improperly validated CSRF tokens in forms and sensitive actions. • generic web: Monitor access logs for unusual requests originating from different IP addresses than the user's typical location. • generic web: Check for suspicious POST requests containing unexpected parameters or actions.
disclosure
Statut de l'Exploit
EPSS
0.02% (percentile 4%)
CISA SSVC
Vecteur CVSS
La mitigation principale consiste à mettre à jour InstantCMS vers la version 2.18.1 ou ultérieure, qui corrige cette vulnérabilité. Si la mise à jour n'est pas immédiatement possible, des mesures temporaires peuvent être prises. Il est recommandé de mettre en œuvre des mesures de protection CSRF supplémentaires, telles que l'utilisation de jetons CSRF robustes et la validation rigoureuse des requêtes utilisateur. L'implémentation d'une politique de sécurité de contenu (CSP) peut également aider à atténuer les risques liés aux attaques CSRF. Vérifiez après la mise à jour que les jetons CSRF sont correctement générés et validés pour toutes les actions sensibles.
Mettez à jour InstantCMS à la version 2.18.1 ou supérieure. Cette version corrige les vulnérabilités CSRF qui permettent aux attaquants d'effectuer des actions non autorisées au nom des utilisateurs. La mise à jour est cruciale pour protéger votre site web contre d'éventuelles attaques.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-28281 is a Cross-Site Request Forgery vulnerability affecting InstantCMS versions before 2.18.1, allowing attackers to perform actions as authenticated users.
You are affected if you are using InstantCMS version 2.18.1 or earlier. Upgrade to 2.18.1 to resolve the vulnerability.
Upgrade InstantCMS to version 2.18.1. Consider implementing a Content Security Policy (CSP) as an interim measure.
As of the public disclosure date, there are no confirmed reports of active exploitation, but monitoring is advised.
Refer to the official InstantCMS website and security advisories for the latest information and updates regarding this vulnerability.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.