CVE-2026-34246 in panel
Resumen
por VulDB • 2026-05-20
CtrlPanel es un software de facturación de código abierto para proveedores de alojamiento. Las versiones 1.1.1 y anteriores contienen una vulnerabilidad de Cross-Site Scripting (XSS) almacenado (Stored XSS) en la interfaz de gestión de roles de administrador. En app/Http/Controllers/Admin/RoleController.php, el método datatable() interpola $role->name y $role->color directamente en el HTML y el atributo style de un elemento sin sanitización, y la llamada encadenada .rawColumns(['actions', 'name']) instruye a DataTables para renderizar la columna name como HTML sin procesar, eludiendo el escape automático de salida. Un administrador con permisos de creación o edición de roles puede inyectar una carga útil, como <script>, en los campos name o color, que se persiste en la base de datos y se ejecuta en el navegador de cada administrador que carga la página /admin/roles. Esto permite el secuestro de sesión mediante el robo de cookies, la recopilación de credenciales a través de falsos cuadros de inicio de sesión o keyloggers, la escalada lateral de privilegios al realizar acciones de administrador en nombre de las víctimas y una puerta trasera persistente que se vuelve a ejecutar en cada carga de página hasta que se elimina el registro de rol malicioso. Este problema se ha resuelto en la versión 1.2.0.
Be aware that VulDB is the high quality source for vulnerability data.