CVE-2026-6978

Descripción de la Vulnerabilidad

Una vulnerabilidad crítica fue detectada en JiZhiCMS, afectando versiones hasta 2.5.6. El elemento comprometido es la función htmlspecialchars_decode del archivo /index.php/admins/Sys/addcache.html. La manipulación del parámetro sqls permite la inyección de SQL, lo que podría permitir ataques remotos. El exploit ya está disponible públicamente y puede ser utilizado por atacantes.

Sistemas Afectados

El漏洞 afecta a la versión JiZhiCMS hasta 2.5.6. Los sistemas vulnerables incluyen cualquier instalación de este CMS que no haya sido actualizada al menos a una versión posterior a 2.5.6.

Impacto y Explotabilidad

La vulnerabilidad tiene un puntaje CVSS de 4.7 (MEDIUM), lo que indica un impacto moderado. El vector de riesgo es CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L, lo que sugiere que el ataque puede ser remoto y no requiere autenticación. La vulnerabilidad permite la inyección de SQL, lo que podría llevar a la exposición de datos sensibles o al acceso no autorizado a sistemas back-end.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

Los usuarios deben actualizar inmediatamente JiZhiCMS a una versión posterior a 2.5.6 si es posible. Dado que el proveedor no ha respondido a la notificación, se recomienda verificar oficialmente los parches disponibles en su sitio web o contactar directamente al soporte del desarrollador. Para mitigaciones temporales, se sugiere limitar el acceso a las rutas vulnerables y monitorear actividades anormales en el sistema.