Diversas fallas de seguridad en la plataforma de comercio electrónico de Cradle

⟫ 08/05/2026 ⟫ INCIBE

Fuente: INCIBE

### Vulnerabilidades en Cradle eCommerce: Un nuevo reto para la seguridad web

En el actual entorno digital, la seguridad de las plataformas de comercio electrónico es de vital importancia, no solo para los desarrolladores, sino también para los usuarios que confían en ellas para gestionar sus transacciones. Recientemente, el Instituto Nacional de Ciberseguridad (INCIBE) ha coordinado la divulgación de tres vulnerabilidades de severidad media que afectan a Cradle eCommerce, una solución integral diseñada para la gestión de proyectos web. Estas vulnerabilidades fueron identificadas por Gonzalo Aguilar García, conocido en el ámbito de la ciberseguridad como 6h4ack. La importancia de este tipo de hallazgos radica en la necesidad de mantener la confianza de los consumidores en un sector donde la seguridad es un pilar fundamental.

Las vulnerabilidades descubiertas han sido catalogadas bajo los siguientes identificadores de Common Vulnerabilities and Exposures (CVE) y se les ha asignado una puntuación base utilizando el sistema CVSS v4.0, que permite evaluar la gravedad de las mismas. En particular, la CVE-2026-3318 ha recibido una puntuación CVSS de 5.3, mientras que las CVE-2026-3319 y CVE-2026-3320 han obtenido una puntuación de 5.1. La naturaleza de estas vulnerabilidades, así como su vector y tipo de vulnerabilidad, se detalla a continuación.

La CVE-2026-3318 corresponde a una vulnerabilidad de redireccionamiento abierto en el endpoint del formulario de inicio de sesión de la versión de demostración de Cradle eCommerce. Este problema surge debido a que el parámetro 'returnUrl' permite que la aplicación web acepte una URL como parámetro sin realizar la validación adecuada. Como consecuencia, un atacante puede redirigir a los usuarios desde la página legítima hacia páginas externas maliciosas, engañándolos y potencialmente comprometiendo su información personal. Este tipo de vulnerabilidad se clasifica bajo CWE-601, que se refiere específicamente a los problemas de redireccionamiento abierto.

Por otro lado, las vulnerabilidades CVE-2026-3319 y CVE-2026-3320 están relacionadas con Cross-Site Scripting (XSS) reflejado, una técnica de ataque que permite a los atacantes ejecutar código JavaScript arbitrario en el contexto de la sesión del usuario. En este caso, la entrada controlada por el usuario se refleja de forma insegura en la salida HTML de los endpoints '/collection/' y '/product/' de la plataforma. Este tipo de vulnerabilidad, catalogada bajo CWE-79, puede ser explotada para comprometer la integridad de la sesión del usuario y sustraer datos sensibles sin su conocimiento.

El equipo de desarrollo de Cradle ha abordado y solucionado estas vulnerabilidades en la última versión de Cradle eCommerce, lo que subraya la importancia de mantener actualizadas las plataformas utilizadas en el comercio electrónico. Sin embargo, es importante destacar que este problema no afecta a Cradle CMS, dado que esta última no gestiona productos ni colecciones, ni permite a los usuarios iniciar sesión a través de cuentas de cliente.

El impacto de estas vulnerabilidades puede ser significativo, ya que las plataformas de comercio electrónico son objetivos atractivos para los atacantes. La posibilidad de redirigir a usuarios a sitios maliciosos o ejecutar código arbitrario puede provocar no solo la pérdida de datos, sino también un daño considerable a la reputación de las empresas afectadas. Para los usuarios, esto implica un riesgo directo, ya que su información personal podría quedar expuesta a un uso indebido.

Históricamente, el sector del comercio electrónico ha sido objeto de numerosas vulnerabilidades y ataques, lo que ha llevado a una creciente atención hacia las mejores prácticas en seguridad. Este último descubrimiento se alinea con una tendencia más amplia donde los desarrolladores deben equilibrar la funcionalidad y la seguridad para proteger tanto a las empresas como a sus usuarios. A medida que las herramientas y tecnologías evolucionan, también lo hacen las tácticas de los atacantes, lo que requiere una vigilancia constante.

Para mitigar los riesgos asociados a estas vulnerabilidades, se recomienda a los administradores de sistemas y desarrolladores que implementen las actualizaciones proporcionadas por Cradle de inmediato. Además, es crucial que se realicen auditorías de seguridad periódicas y pruebas de penetración para identificar y abordar posibles vulnerabilidades antes de que puedan ser explotadas. La formación continua del personal en materia de ciberseguridad y la adopción de prácticas de codificación segura son medidas que pueden contribuir a crear un entorno más seguro para todos los usuarios de la plataforma.

◢ VULNERABILIDADES ◣

Multiple vulnerabilities in Cradle eCommerce

⟫ 08/05/2026 ⟫ INCIBE

Source: INCIBE

Cradle eCommerce (demo.cradlecms.com): latest version of the demo.

INCIBE has coordinated the publication of 3 medium severity vulnerabilities affecting Cradle eCommerce, an all-in-one server system for managing web projects. The vulnerabilities were discovered by Gonzalo Aguilar García (6h4ack).

The following codes, CVSS v4.0 base score, CVSS vector, and CWE vulnerability type have been assigned to these vulnerabilities:

CVE-2026-3318: CVSS v4.0: 5.3 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:N/UI:P/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE-601

From CVE-2026-3319 to CVE-2026-3320: 5.1 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:N/SC:L/SI:L/SA:N | CWE-79

The vulnerabilities have been fixed by the Cradle team in the latest version of Cradle eCommerce.

This issue does not affect Cradle CMS, as it does not have products or collections, nor customer accounts for login.

CVE-2026-3318: open redirection vulnerability in the latest demo version of the Cradle eCommerce platform. The vulnerability occurs at the login form endpoint, where the 'returnUrl' parameter allows redirection, as the web application accepts a URL as a parameter without properly validating it. As a result, it is possible to redirect users from the legitimate website to external pages. An attacker can exploit this vulnerability to trick users and redirect them from a trusted URL to a malicious one without their knowledge.

Reflected Cross-Site Scripting (XSS) in the latest demo version of the Cradle eCommerce platform. User-controlled input is insecurely reflected in the HTML output. Exploiting this vulnerability would allow an attacker to execute arbitrary JavaScript code. The relationship of parameters and assigned identifiers is as follows: CVE-2026-3319: endpoint '/collection/'. CVE-2026-3320: endpoint '/product/'.

CVE-2026-3319: endpoint '/collection/'.

CVE-2026-3320: endpoint '/product/'.

← VOLVER A CIBERSEGURIDAD