मुफ्त स्कैन करें

यह पृष्ठ अभी तक आपकी भाषा में अनुवादित नहीं हुआ है। हम इस पर काम कर रहे हैं, तब तक अंग्रेज़ी में सामग्री दिखाई जा रही है।

💡 Keep dependencies up to date — most exploits target known, patchable vulnerabilities.

CRITICALCVE-2026-45714CVSS 9.1

CVE-2026-45714: RCE in CubeCart v6 Ecommerce Software

प्लेटफ़ॉर्म

php

घटक

cubecart-v6

में ठीक किया गया

6.7.0

NVD पर देखें
सहेजें
आपकी भाषा में अनुवाद हो रहा है…

CubeCart v6, an ecommerce software solution, suffers from a critical Remote Code Execution (RCE) vulnerability. This flaw, stemming from an Authenticated Server-Side Template Injection (SSTI), allows authenticated administrative users to execute arbitrary operating system commands. The vulnerability impacts versions 6.0.0 through 6.6.9 and is resolved in version 6.7.0.

प्रभाव और हमले की स्थितियाँअनुवाद हो रहा है…

The impact of this RCE vulnerability is severe. An attacker, posing as an authenticated administrative user, can gain complete control over the affected CubeCart server. This includes the ability to install malware, steal sensitive data (customer information, payment details, database contents), modify website content, and potentially pivot to other systems on the network. The exploitation pattern resembles classic SSTI attacks, where template engines are misused to execute arbitrary code. Successful exploitation could lead to a complete compromise of the ecommerce platform and associated data, resulting in significant financial and reputational damage.

शोषण संदर्भअनुवाद हो रहा है…

This vulnerability was published on 2026-05-13. Its CRITICAL CVSS score (9.1) indicates a high probability of exploitation. While no public Proof-of-Concept (POC) code has been publicly released as of this writing, the nature of SSTI vulnerabilities makes it likely that exploits will emerge. Monitor security advisories and threat intelligence feeds for any indications of active exploitation campaigns targeting CubeCart installations.

खतरा खुफिया

एक्सप्लॉइट स्थिति

प्रूफ ऑफ कॉन्सेप्टअज्ञात
CISA KEVNO
इंटरनेट एक्सपोज़रउच्च
रिपोर्ट3 खतरा रिपोर्ट

CVSS वेक्टर

खतरा इंटेलिजेंस· CVSS 3.1CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H9.1CRITICALAttack VectorNetworkहमलावर लक्ष्य तक कैसे पहुंचता हैAttack ComplexityLowशोषण के लिए आवश्यक शर्तेंPrivileges RequiredHighहमले के लिए प्रमाणीकरण स्तरUser InteractionNoneक्या पीड़ित को कार्रवाई करनी होगीScopeChangedघटक से परे प्रभावConfidentialityHighसंवेदनशील डेटा उजागर होने का जोखिमIntegrityHighअनधिकृत डेटा संशोधन का जोखिमAvailabilityHighसेवा बाधा का जोखिमnextguardhq.com · CVSS v3.1 आधार स्कोर
इन मेट्रिक्स का क्या मतलब है?
Attack Vector
नेटवर्क — इंटरनेट के माध्यम से दूरस्थ रूप से शोषण योग्य। कोई भौतिक या स्थानीय पहुंच आवश्यक नहीं।
Attack Complexity
निम्न — कोई विशेष शर्त नहीं। विश्वसनीय रूप से शोषण योग्य।
Privileges Required
उच्च — व्यवस्थापक या विशेषाधिकार प्राप्त खाते की आवश्यकता।
User Interaction
कोई नहीं — स्वचालित और मूक हमला। पीड़ित कुछ नहीं करता।
Scope
बदला हुआ — हमला कमज़ोर घटक से परे अन्य प्रणालियों तक फैल सकता है।
Confidentiality
उच्च — पूर्ण गोपनीयता हानि। हमलावर सभी डेटा पढ़ सकता है।
Integrity
उच्च — हमलावर कोई भी डेटा लिख, बदल या हटा सकता है।
Availability
उच्च — पूर्ण क्रैश या संसाधन समाप्ति। पूर्ण सेवा से इनकार।

प्रभावित सॉफ्टवेयर

घटकcubecart-v6
विक्रेताcubecart
न्यूनतम संस्करण6.0.0
अधिकतम संस्करण< 6.7.0
में ठीक किया गया6.7.0

कमजोरी वर्गीकरण (CWE)

CWE-94CWE-1336

समयरेखा

  1. आरक्षित
  2. प्रकाशित

शमन और वर्कअराउंडअनुवाद हो रहा है…

The primary mitigation is to immediately upgrade CubeCart to version 6.7.0, which addresses the SSTI vulnerability. If upgrading is not immediately feasible, consider implementing temporary workarounds. Restrict administrative access to the CubeCart platform and enforce strong password policies. Implement a Web Application Firewall (WAF) with rules to detect and block SSTI attempts, specifically targeting Smarty template injection patterns. Monitor CubeCart logs for suspicious activity, such as unusual template rendering or command execution attempts. After upgrading, confirm the fix by attempting to trigger the SSTI vulnerability through administrative interfaces and verifying that the commands are properly sanitized.

कैसे ठीक करेंअनुवाद हो रहा है…

Actualice CubeCart a la versión 6.7.0 o superior para mitigar la vulnerabilidad de inyección de plantillas del lado del servidor (SSTI). Esta actualización corrige la forma en que se evalúan las plantillas Smarty, evitando la ejecución de comandos arbitrarios en el sistema.

अक्सर पूछे जाने वाले सवालअनुवाद हो रहा है…

What is CVE-2026-45714 — RCE in CubeCart v6?

CVE-2026-45714 is a critical Remote Code Execution (RCE) vulnerability in CubeCart v6 ecommerce software. It allows authenticated administrators to execute arbitrary commands on the server via Server-Side Template Injection (SSTI).

Am I affected by CVE-2026-45714 in CubeCart v6?

Yes, if you are running CubeCart v6 versions 6.0.0 through 6.6.9, you are affected by this vulnerability. Upgrade to version 6.7.0 to resolve the issue.

How do I fix CVE-2026-45714 in CubeCart v6?

The recommended fix is to upgrade CubeCart to version 6.7.0. As a temporary workaround, restrict admin access and implement WAF rules to block SSTI attempts.

Is CVE-2026-45714 being actively exploited?

While no public exploits are currently known, the high severity and ease of exploitation associated with SSTI suggest a high probability of future exploitation attempts.

Where can I find the official CubeCart advisory for CVE-2026-45714?

Refer to the official CubeCart security advisory for detailed information and updates regarding CVE-2026-45714: [https://www.cubecart.com/security/advisories/]

क्या आपका प्रोजेक्ट प्रभावित है?

अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।

मुफ्त स्कैन करेंCVE खोजें
liveमुफ्त स्कैन

अभी आज़माएँ — no खाता

scanZone.subtitle

मैनुअल स्कैनSlack/email अलर्टContinuous monitoringscanZone.capReports

अपनी डिपेंडेंसी फ़ाइल ड्रैग और ड्रॉप करें

composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...