CVE-2026-7013

Descripción de la Vulnerabilidad

CVE-2026-7013 es una vulnerabilidad crítica relacionada con el componente mail_send Plugin del software MaxSite CMS, afectando versiones antiguas hasta la 109.3. La vulnerabilidad permite a un atacante ejecutar código malicioso en el navegador de usuarios mediante la manipulación de parámetros específicos como f_subject, f_files y f_from. Esto conlleva a una inyección de código XSS (Cross-Site Scripting), que puede ser explotada remotamente sin necesidad de autenticación. La vulnerabilidad ha sido divulgada públicamente y está disponible para uso por parte de atacantes.

Sistemas Afectados

La vulnerabilidad afecta a todas las versiones de MaxSite CMS desde su lanzamiento hasta la versión 109.3. Específicamente, el componente mail_send Plugin es el responsable del problema, ya que permite la inyección de código en contextos web sin validación adecuada.

Impacto y Explotabilidad

El impacto de esta vulnerabilidad es significativo debido a su explotabilidad remota. Un atacante puede aprovecharla para ejecutar scripts maliciosos en el navegador de usuarios, lo que podría llevar a la robo de datos sensibles o la propagación de malware. La puntuación CVSS 2.4 indica un riesgo moderado, pero su naturaleza de inyección XSS sugiere una potencial amenaza para aplicaciones web con usuarios no autenticados.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución más efectiva es actualizar el software a la versión 109.4, que corrige la vulnerabilidad mencionada. El parche oficial tiene el identificador 8a3946bd0a54bfb72a4d57179fcd253f2c550cd7. Los administradores de sistemas deben revisar las versiones de su software y aplicar actualizaciones seguras para evitar la explotación de esta vulnerabilidad. La puntuación CVSS 2.4 refuerza la necesidad de actuar con celeridad.