CVE-2026-28281

Exploit

EPSS 0.02%
Veröffentlicht 09.03.2026 22:13:24
Zuletzt bearbeitet 13.03.2026 16:19:38
Quelle security-advisories@github.com
CVE-Watchlists
Login
Unerledigt
Login

InstantCMS is a free and open source content management system. Prior to 2.18.1, InstantCMS does not validate CSRF tokens, which allows attackers grant moderator privileges to users, execute scheduled tasks, move posts to trash, and accept friend requests on behalf of the user. This vulnerability is fixed in 2.18.1.

Betroffene Produkte Warnungen 0 Metriken 2 CWE 1 Referenzen 4

Verknüpft mit AI von unstrukturierten Daten zu bestehenden CPE der NVD

Diese Information steht angemeldeten Benutzern zur Verfügung.

Daten sind bereitgestellt durch National Vulnerability Database (NVD)

Instantcms ≫ Instantcms Version < 2.18.1

Zu dieser CVE wurde keine CISA KEV oder CERT.AT-Warnung gefunden.

EPSS Metriken
Typ	Quelle	Score	Percentile
EPSS	FIRST.org	0.02%	0.044

CVSS Metriken
Quelle	Base Score	Exploit Score	Impact Score	Vector String
security-advisories@github.com	7.1	2.8	4.2	CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:H/A:N

CWE-352 Cross-Site Request Forgery (CSRF)

The web application does not, or can not, sufficiently verify whether a well-formed, valid, consistent request was intentionally provided by the user who submitted the request.

https://github.com/instantsoft/icms2/security/advisories/GHSA-pp43-262q-h73m

Vendor Advisory

Exploit

Mitigation

https://nvd.nist.gov/vuln/detail/CVE-2026-28281

CVE Source (NVD)

https://cveawg.mitre.org/api/cve/CVE-2026-28281

CVE Source (JSON)

https://euvd.enisa.europa.eu/vulnerability/CVE-2026-28281

EUVD

Team-orientierte Vulnerability Management Plattform

Features der Plattform

CVE-2026-28281