Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en grpc-go de grpc (CVE-2026-33186)

Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-285 Autorización incorrecta
Fecha de publicación:
20/03/2026
Última modificación:
10/04/2026

Descripción

gRPC-Go es la implementación en lenguaje Go de gRPC. Las versiones anteriores a la 1.79.3 tienen un bypass de autorización resultante de una validación de entrada incorrecta del pseudo-encabezado HTTP/2 ':path'. El servidor gRPC-Go era demasiado indulgente en su lógica de enrutamiento, aceptando solicitudes donde el ':path' omitía la barra inicial obligatoria (por ejemplo, 'Service/Method' en lugar de '/Service/Method'). Si bien el servidor enrutó con éxito estas solicitudes al gestor correcto, los interceptores de autorización (incluido el paquete oficial 'grpc/authz') evaluaron la cadena de ruta cruda y no canónica. En consecuencia, las reglas de 'denegación' definidas usando rutas canónicas (que comienzan con '/') no lograron coincidir con la solicitud entrante, permitiendo que bypassara la política si una regla de 'permiso' de respaldo estaba presente. Esto afecta a los servidores gRPC-Go que utilizan interceptores de autorización basados en rutas, como la implementación oficial de RBAC en 'google.golang.org/grpc/authz' o interceptores personalizados que dependen de 'info.FullMethod' o 'grpc.Method(ctx)'; Y que tienen una política de seguridad que contiene reglas de 'denegación' específicas para rutas canónicas pero permite otras solicitudes por defecto (una regla de 'permiso' de respaldo). La vulnerabilidad es explotable por un atacante que puede enviar tramas HTTP/2 crudas con encabezados ':path' malformados directamente al servidor gRPC. La corrección en la versión 1.79.3 asegura que cualquier solicitud con un ':path' que no comience con una barra inicial sea inmediatamente rechazada con un error 'codes.Unimplemented', impidiendo que llegue a los interceptores de autorización o gestores con una cadena de ruta no canónica. Si bien la actualización es la ruta más segura y recomendada, los usuarios pueden mitigar la vulnerabilidad utilizando uno de los siguientes métodos: Usar un interceptor de validación (mitigación recomendada); normalización a nivel de infraestructura; y/o endurecimiento de políticas.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.10 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
9.10
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:grpc:grpc:*:*:*:*:*:go:*:* 1.79.3 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información