Vulnerabilidades críticas en Statamic 2026
Vulnerabilidad crítica - 26/02
Introducción
CVE‑2026‑27593 es una vulnerabilidad crítica en el CMS Statamic que se encuentra en el mecanismo de restablecimiento de contraseñas, permitiendo que un atacante capture el token de restablecimiento de un usuario legítimo y cambie su contraseña sin autorización. Para explotarla, basta con que el atacante conozca el correo electrónico de la cuenta y logre que la víctima interactúe con un enlace malicioso. La vulnerabilidad no requiere privilegios previos y puede comprometer directamente la confidencialidad e integridad de las cuentas, aunque no afecta la disponibilidad del servicio. Se clasifica dentro de CWE‑640, es decir, mecanismos débiles de recuperación de contraseña. El impacto potencial es significativo, ya que permite el secuestro de cuentas y acceso no autorizado a información sensible.
Análisis
CVE-2026-27593 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N - 9,3
CVE‑2026‑27593 se encuentra en el mecanismo de restablecimiento de contraseñas del Statamic CMS. El flujo estándar de restablecimiento genera un token criptográficamente único asociado al usuario y lo envía en un enlace por correo electrónico. Este token debería garantizar autenticidad y expiración limitada, de modo que solo el propietario legítimo de la cuenta pueda reconfigurar su contraseña. Sin embargo, en las versiones vulnerables, la validación del token y la verificación de la fuente del enlace presentan fallos que permiten su explotación remota.
La explotación se basa en la capacidad de un atacante de enviar un enlace de restablecimiento manipulado a la víctima y, gracias a la falta de validación estricta de los tokens, capturar o reutilizar dicho token. Esto permite al atacante sobrescribir la contraseña de cualquier usuario con solo conocer su dirección de correo electrónico, sin requerir credenciales previas ni privilegios administrativos. El riesgo se magnifica por la interacción mínima requerida del usuario y la ausencia de mecanismos adicionales de verificación, como MFA o limitaciones en la validez del token frente a solicitudes externas.
Versiones afectadas
Versiones anteriores a 5.73.10 y 6.3.3.
Recomendaciones
- Actualizar Statamic a las versiones 5.73.10 o 6.3.3
- Habilitar autenticación multifactor
- Revisar solicitudes sospechosas de restablecimiento de contraseña
Workarounds
No hay workarounds para esta vulnerabilidad.