CVE-2026-6983 - CVE Database
Descripción de la Vulnerabilidad
A vulnerability was identified in pagekit up to version 1.0.18. Affected by this issue is some unknown functionality of the file /index.php/admin/system/update/download. The manipulation of the argument url leads to server-side request forgery.
Remote exploitation of the attack is possible. The exploit is publicly available and might be used. The vendor was contacted early about this disclosure but did not respond in any way.
Sistemas Afectados
- Software: pagekit version 1.0.x (specifically up to 1.0.18)
- Componentes afectados: No especificado por el proveedor; se menciona que son "algunas funciones desconocidas" del archivo de descarga.
Impacto y Explotabilidad
| Efecto | Dato Técnico |
|---|---|
| Vulnerabilidad Principal | CVE-2026-6983 |
| Puntuación CVSS | 4.7 (MEDIUM) - Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L |
| Vía de Exploitación | SERVING REQUEST FORGERY (SRF) |
| Efecto Adicional | Exploit público disponible. No hay respuesta del proveedor. |
Indicadores de Compromiso (IOCs)
No hay Indicadores de Compromiso públicos disponibles para CVE-2026-6983.
| Tipo | Valor | Contexto |
|---|
Mitigación y Parches
No hay parches públicos disponibles para CVE-2026-6983.
- Parche disponible: No se ha confirmado por el proveedor.
- Estrategia de mitigación: Se recomienda actualizar a versiones anteriores del software pagekit (ej. 1.0.x) que no afecten esta vulnerabilidad específica.
Hipoteses sobre la Vulnerabilidad
La descripción indica que una función desconocida en /index.php/admin/system/update/download permite manipular el argumento url. Esto podría permitir solicitudes de página web (Serving Request Forgery), aunque no se proporciona un ejemplo explícito del código atacante.
Nota: La información proviene directamente de la base de datos CVE con fecha 2026-04-25.