CVE-2026-7435

Descripción de la Vulnerabilidad

CVE-2026-7435 corresponde a una vulnerabilidad de tipo inyección SQL en el software SSCMS versión 7.4.0. La falla surge del uso directo de un parámetro (queryString) en la etiqueta stl:sqlContent, sin aplicar sanitización o parametrización, lo que permite a los atacantes ejecutar instrucciones SQL arbitrarias.

La vulnerabilidad permite a los atacantes enviar payloads criptografiados al endpoint /api/stl/actions/dynamic, con el objetivo de obtener acceso no autorizado a la base de datos, descubrir datos sensibles, modificar información o incluso comprometer completamente el sistema.

Sistemas Afectados

La vulnerabilidad afecta específicamente a SSCMS versión 7.4.0. Usuarios que estén utilizando esta versión del software en entornos de producción o desarrollo podrían estar expuestos a ataques de inyección SQL.

Impacto y Explotabilidad

El CVSS score asociado a este incidente es 7.2 (HIGH), lo que refleja un alto nivel de riesgo debido a la posibilidad de acceso no autorizado a datos críticos, modificación de información o compromiso total del sistema. La explotación requiere conocimiento técnico para construir payloads específicos y enviar solicitudes maliciosas al endpoint mencionado.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

La solución más efectiva es actualizar SSCMS a una versión posterior a 7.4.0, donde se haya corregido la vulnerabilidad. En el caso de no poder actualizar inmediatamente, se recomienda:

• Implementar validación y sanitización en todas las entradas que interactúan con la base de datos.
• Usar consultas parametrizadas para evitar la ejecución directa de comandos SQL.
• Revisar el código fuente del software para asegurar que no haya otros puntos de inyección SQL no documentados.