Plataforma
php
Componente
icms2
Corrigido em
2.18.2
A vulnerabilidade CSRF (Cross-Site Request Forgery) no InstantCMS, versão 2.18.1 e anteriores, permite que atacantes realizem ações em nome de usuários autenticados. Exploração bem-sucedida pode resultar na concessão de privilégios de moderador, execução de tarefas agendadas, movimentação de posts para a lixeira e aceitação de solicitações de amizade. A correção para esta vulnerabilidade foi lançada na versão 2.18.1.
Um atacante pode explorar esta vulnerabilidade para obter controle significativo sobre uma instância do InstantCMS. Ao manipular solicitações HTTP, o atacante pode, por exemplo, conceder privilégios de moderador a um usuário malicioso, permitindo que este modifique o conteúdo do site, exclua dados ou adicione novos usuários com privilégios elevados. A execução de tarefas agendadas pode ser utilizada para automatizar ataques ou realizar ações não autorizadas em horários específicos. A manipulação de posts e solicitações de amizade pode comprometer a integridade dos dados e a reputação do site. A ausência de validação de tokens CSRF torna o sistema suscetível a ataques que exploram a confiança do servidor nas solicitações recebidas.
Esta vulnerabilidade foi divulgada em 2026-03-09. Não há informações disponíveis sobre exploração ativa ou a inclusão desta CVE no KEV da CISA no momento da redação. A ausência de um Proof of Concept (PoC) público não elimina o risco, pois atacantes podem desenvolver suas próprias ferramentas de exploração. Monitore as fontes de inteligência de ameaças para atualizações sobre a exploração desta vulnerabilidade.
Organizations and individuals using InstantCMS versions prior to 2.18.1 are at risk. This includes websites and applications relying on InstantCMS for content management, particularly those with a large user base or sensitive data. Shared hosting environments using InstantCMS are also at increased risk due to the potential for cross-tenant exploitation.
• php / web:
curl -I <your_instantcms_url> | grep -i 'csrf-token'• php / web: Examine the source code for missing or improperly validated CSRF tokens in forms and sensitive actions. • generic web: Monitor access logs for unusual requests originating from different IP addresses than the user's typical location. • generic web: Check for suspicious POST requests containing unexpected parameters or actions.
disclosure
Status do Exploit
EPSS
0.02% (percentil 4%)
CISA SSVC
Vetor CVSS
A mitigação primária para esta vulnerabilidade é a atualização imediata para a versão 2.18.1 do InstantCMS. Caso a atualização cause interrupções, considere a implementação de um Web Application Firewall (WAF) com regras para bloquear solicitações CSRF. Verifique se o InstantCMS está configurado para usar HTTPS para proteger a comunicação entre o cliente e o servidor. Implemente políticas de segurança de senha fortes e incentive os usuários a utilizarem autenticação de dois fatores, se disponível, para reduzir o risco de comprometimento de contas. Após a atualização, confirme a correção verificando se as solicitações de modificação de privilégios e outras ações críticas requerem autenticação e validação de tokens CSRF.
Atualize o InstantCMS para a versão 2.18.1 ou superior. Esta versão corrige as vulnerabilidades CSRF que permitem que atacantes realizem ações não autorizadas em nome dos usuários. A atualização é crucial para proteger seu site contra possíveis ataques.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-28281 is a Cross-Site Request Forgery vulnerability affecting InstantCMS versions before 2.18.1, allowing attackers to perform actions as authenticated users.
You are affected if you are using InstantCMS version 2.18.1 or earlier. Upgrade to 2.18.1 to resolve the vulnerability.
Upgrade InstantCMS to version 2.18.1. Consider implementing a Content Security Policy (CSP) as an interim measure.
As of the public disclosure date, there are no confirmed reports of active exploitation, but monitoring is advised.
Refer to the official InstantCMS website and security advisories for the latest information and updates regarding this vulnerability.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.