Vulnerabilidad en Initiative (CVE-2026-28274)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

26/02/2026

Última modificación:

27/02/2026

Descripción

Initiative es una plataforma de gestión de proyectos autohospedada. Las versiones de la aplicación anteriores a la 0.32.4 son vulnerables a Cross-Site Scripting Almacenado (XSS) en la funcionalidad de carga de documentos. Cualquier usuario con permisos de carga dentro de la sección &#39;Initiatives&#39; puede cargar un archivo .html o .htm malicioso como documento. Debido a que el archivo HTML cargado se sirve bajo el origen de la aplicación sin un sandboxing adecuado, el JavaScript incrustado se ejecuta en el contexto de la aplicación. Como resultado, los tokens de autenticación, las cookies de sesión u otros datos sensibles pueden ser exfiltrados a un servidor controlado por el atacante. Además, dado que el archivo cargado está alojado bajo el dominio de la aplicación, simplemente compartir el enlace directo al archivo puede resultar en la ejecución del script malicioso al ser accedido. La versión 0.32.4 corrige el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno