Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Winter de wintercms (CVE-2026-27591)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-284 Control de acceso incorrecto
Fecha de publicación:
11/03/2026
Última modificación:
12/03/2026

Descripción

Winter es un sistema de gestión de contenido (CMS) gratuito y de código abierto basado en el framework PHP Laravel. Antes de las versiones 1.0.477, 1.1.12 y 1.2.12, Winter CMS permitía a los usuarios autenticados del backend escalar el nivel de acceso de sus cuentas al sistema modificando los roles / permisos asignados a su cuenta a través de solicitudes especialmente diseñadas al backend mientras estaban conectados. Para explotar activamente este problema de seguridad, un atacante necesitaría acceso al Backend con una cuenta de usuario con cualquier nivel de acceso. Esta vulnerabilidad está corregida en las versiones 1.0.477, 1.1.12 y 1.2.12.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA

Referencias a soluciones, herramientas e información