Vulnerabilidad en Winter de WinterCMS (CVE-2026-22254)

Gravedad:

Pendiente de análisis

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

06/02/2026

Última modificación:

20/02/2026

Descripción

Winter es un sistema de gestión de contenido (CMS) gratuito y de código abierto basado en el framework PHP Laravel. Las versiones de Winter CMS anteriores a la 1.2.10 permitían a los usuarios con acceso al Gestor de Activos del CMS subir SVGs sin sanitización automática. Para explotar activamente este problema de seguridad, un atacante necesitaría acceso al Backend con una cuenta de usuario con el siguiente permiso: cms.manage_assets. Los mantenedores de Winter CMS recomiendan encarecidamente que el permiso cms.manage_assets solo se reserve a administradores y desarrolladores de confianza en general. Esta vulnerabilidad está corregida en la 1.2.10.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 0.00 Pendiente de análisis
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:N/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno