Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en eCommerce de Cradle

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en eCommerce de Cradle

Aviso
Recursos Afectados

Cradle eCommerce (demo.cradlecms.com): última versión de la demo.

Descripción

INCIBE ha coordinado la publicación de 3 vulnerabilidades de severidad media que afectan a Cradle eCommerce, un sistema todo en uno con servidor para gestionar proyectos web. Las vulnerabilidades han sido descubiertas por Gonzalo Aguilar García (6h4ack).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-CVE-2026-3318: CVSS v4.0: 5.3 | CVSS:4.0/  AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE- 601
  • De CVE-2026-3319 a CVE-2026-3320: 5.1 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE-79
Identificador
INCIBE-2026-334

Solución

Las vulnerabilidades han sido solucionadas por el equipo de Cradle en la última versión de Cradle eCommerce.

Este problema no afecta a Cradle CMS, ya que no cuenta con productos ni colecciones, ni con cuentas de cliente para iniciar sesión.

Detalle
  • CVE-2026-3318:vulnerabilidad de redireccionamiento abierto en la última versión demo de la plataforma Cradle eCommerce. La vulnerabilidad se produce en el endpoint del formulario de inicio de sesión, donde el parámetro ‘returnUrl‘ permite el redireccionamiento, ya que la aplicación web acepta una URL como parámetro sin validarla adecuadamente. Como resultado, es posible redirigir a los usuarios desde la página web legítima a páginas externas. Un atacante puede aprovechar esta vulnerabilidad para engañar a los usuarios y redirigirlos desde una URL de confianza a una maliciosa sin su conocimiento.
  • Cross-Site Scripting (XSS) reflejado en la última versión demo de la plataforma Cradle eCommerce. La entrada controlada por el usuario se refleja de forma insegura en la salida HTML. La explotación de esta vulnerabilidad permitiría a un atacante ejecutar código JavaScript arbitrario. La relación de parámetros e identificadores asignados es la siguiente:
    • CVE-2026-3319: endpoint /collection/‘.
    • CVE-2026-3320: endpoint /product/‘.
3 – Media
Listado de referencias
Cradle CMS & eCommerce

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-3318 Media No Cradle CMS
CVE-2026-3319 Media No Cradle CMS
CVE-2026-3320 Media No Cradle CMS

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.