CVE-2026-31859 in CMS
Resumen
Craft es un sistema de gestión de contenidos (CMS). La corrección para CVE-2025-35939 en craftcms/cms introdujo una llamada a strip_tags() en src/web/User.php para depurar las URL de retorno antes de que se almacenen en la sesión. Sin embargo, strip_tags() solo elimina las etiquetas HTML (corchetes angulares); no inspecciona ni filtra los esquemas de URL. Las cargas útiles como javascript:alert(document.cookie) no contienen etiquetas HTML y pasan por strip_tags() sin sufrir ninguna modificación, lo que permite un XSS reflejado cuando la URL de retorno se representa en un atributo href. Esta vulnerabilidad se ha corregido en las versiones 5.9.7 y 4.17.3.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Divulgación
2026-03-11
Estado
Confirmado
Voces
VulDB provides additional information and datapoints for this CVE:
| ID | Vulnerabilidad | CWE | Exp | Con | CVE |
|---|---|---|---|---|---|
| 350351 | Craft CMS Return URL setReturnUrl secuencias de comandos en sitios cruzados | 79 | No está definido | Arreglo oficial | CVE-2026-31859 |
Descripción
CPE
CWE
CVSS
Hazañas
Historia
Diferencia
Relacionar
Inteligencia de amenazas
API JSON
API XML
API CSV