Vulnerabilidad en cms de statamic (CVE-2026-27593)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-640
Mecanismo débil para recuperación de contraseñas olvidadas
Fecha de publicación:
24/02/2026
Última modificación:
25/02/2026
Descripción
Statmatic es un sistema de gestión de contenido (CMS) impulsado por Laravel y Git. Antes de las versiones 6.3.3 y 5.73.10, un atacante podría aprovechar una vulnerabilidad en la función de restablecimiento de contraseña para capturar el token de un usuario y restablecer la contraseña en su nombre. El atacante debe conocer la dirección de correo electrónico de una cuenta válida en el sitio, y el usuario real debe hacer clic ciegamente en el enlace de su correo electrónico aunque no haya solicitado el restablecimiento. Esto ha sido corregido en 6.3.3 y 5.73.10.
Impacto
Puntuación base 3.x
9.30
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:* | 5.73.10 (excluyendo) | |
| cpe:2.3:a:statamic:statamic:*:*:*:*:*:*:*:* | 6.0.0 (incluyendo) | 6.3.3 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/statamic/cms/commit/6fdd03324982848e8754f2edd2265262d361714e
- https://github.com/statamic/cms/commit/78e63dfcf705b116d5ac0f7f7f5a1a69be63d1be
- https://github.com/statamic/cms/commit/b2be592ddfb588bcb88c9be454f3590e14b145b0
- https://github.com/statamic/cms/releases/tag/v5.73.10
- https://github.com/statamic/cms/releases/tag/v6.3.3
- https://github.com/statamic/cms/security/advisories/GHSA-jxq9-79vj-rgvw