El Instituto Nacional de Ciberseguridad (INCIBE) ha emitido este lunes 29 de junio de 2026 un aviso de seguridad que alerta de dos vulnerabilidades de severidad media en el gestor de contenidos WebControl CMS, en su versión 3.5, desarrollado por Intermark IT. Las dos brechas, identificadas como CVE-2026-6953 y CVE-2026-6954, permiten ataques de inyección de HTML y de tipo Cross‑Site Scripting (XSS) reflejado, respectivamente. Hasta el momento, el fabricante no ha publicado una solución, por lo que los sistemas que utilicen este producto quedan expuestos.
Las vulnerabilidades han sido descubiertas por el investigador Erik Villegas y se encuadran en el sistema de alerta temprana del INCIBE‑CERT. Ambas han recibido una puntuación base CVSS v4.0 de 5,1, lo que las sitúa en la categoría de riesgo medio. Pese a no ser críticas, permiten a un atacante manipular el contenido de los correos electrónicos enviados a través del forumulario de contacto del software y ejecutar código malicioso en el navegador de la víctima si esta accede a una URL especialmente preparada.
EN 30 SEGUNDOS
- ¿Qué ha ocurrido? El INCIBE alerta de dos vulnerabilidades en WebControl CMS v3.5: una inyección de HTML y un XSS reflejado.
- ¿Dónde y cuándo? Aviso emitido el 29 de junio de 2026 a las 10:12 horas.
- ¿Qué resultado? Severidad media; no existe parche por el momento. Los sistemas que emplean este CMS están potencialmente afectados.
El primer fallo, el CVE-2026-6953, es una inyección de HTML que un atacante puede explotar a través del formulario de contacto. Para ello, el atacante envía una solicitud maliciosa utilizando los parámetros ‘ nombreApellidos ’, ‘dirección’ y ‘comentarios’ en la ruta ‘/tratarContacto.do’. Si un usuario legítimo abre el correo generado, el código HTML se incrusta en el mensaje, abriendo la puerta a campañas de phishing sofisticadas o a la descarga de malware.
La segunda vulnerabilidad, CVE-2026-6954, es un XSS reflejado que puede aprovecharse mediante el parámetro ‘urlDestino’ en ‘/portal.do’. Basta con que un atacante convenza a la víctima de que haga clic en un enlace malintencionado para que se ejecute JavaScript arbitrario en su navegador. Esta técnica permite robar cookies de sesión, mostrar interfaces de phishing o realizar acciones en nombre del usuario en el portal auténtico.
Ambos problemas se combinan con una puntuación CVSS de 5,1 y un vector de red que facilita la explotación remota sin autenticación. Aunque el impacto sobre la confidencialidad y la integridad del sistema principal es nulo, sí se ve comprometida la seguridad del usuario final, según detalla el aviso del INCIBE con identificador INCIBE-2026-462.
En lo que va de año, el INCIBE-CERT ha publicado ya más de 300 avisos de vulnerabilidades, consolidándose como la mayor red pública de alerta temprana sobre ciberseguridad en España.
La ausencia de un parche oficial agrava la situación: mientras el fabricante no publique una actualización, los administradores de WebControl CMS deben aplicar medidas paliativas como desactivar el formulario de contacto o filtrar completamente las entradas del usuario. El propio INCIBE‑CERT recomienda “extremar la vigilancia” y limitar el acceso a las funciones vulnerables hasta que haya una solución definitiva.
Desde el punto de vista operativo, la rápida publicación de estos avisos demuestra la capacidad del INCIBE para coordinar la divulgación responsable de fallos y minimizar la ventana de exposición. En los últimos cinco años, el instituto ha fortalecido su colaboración con los Common Vulnerability and Exposures (CVE) y con los equipos nacionales de respuesta a incidentes, lo que se ha traducido en una reducción significativa del tiempo entre la detección y la notificación pública.
La explotación de vulnerabilidades en sistemas de gestión de contenidos sigue siendo uno de los vectores de ataque más recurrentes contra pequeñas y medianas empresas, que a menudo no disponen de recursos para actualizaciones inmediatas. Según los datos del propio instituto, durante el primer semestre de 2026 más del 18 % de los avisos emitidos corresponden a fallos en CMS de uso extendido, como WordPress, Joomla o la propia WebControl.
Mientras la comunidad de seguridad aguarda el parche oficial de Intermark IT, el INCIBE mantiene activo el aviso y seguirá monitorizando el desarrollo. Cualquier usuario que detecte actividad sospechosa relacionada con estos identificadores puede reportarla al INCIBE‑CERT a través de los canales habituales o al equipo de respuesta del Centro Criptológico Nacional (CCN‑CERT) si se trata de infraestructuras críticas.
