Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Identity Exposure de Tenable

Fecha de publicación 15/04/2026
Identificador
INCIBE-2026-286
Importancia
5 - Crítica
Recursos Afectados
  • Tenable Identity Exposure, versión 3.77.16 y anteriores.
Descripción

Tenable ha publicado un aviso donde informa de 19 vulnerabilidades, 1 de severidad crítica, 10 altas, 6 medias y 3 bajas. En caso de ser explotadas podrían permitir la lectura de ficheros sensibles, entre otras acciones.

Solución

Actualizar el producto a la versión 3.77.17.

Detalle

La vulnerabilidad de severidad crítica es:

  • CVE-2025-55130: un fallo en el modelo de permisos de Node.js permite a los atacantes evitar las restricciones '--allow-fs-read' y '--allow-fs-write' utilizando rutas manipuladas de enlaces simbólicos. Al encadenar directorios y enlaces simbólicos, un script que tenga autorizado el acceso únicamente al directorio actual puede escapar de la ruta autorizada y leer ficheros sensibles. Esto incumple las garantías esperadas de aislamiento y permite la lectura/escritura arbitraria de ficheros, lo que potencialmente deriva en un compromiso del sistema.

El resto de vulnerabilidades se pueden consultar en el enlace de las referencias.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2025-55130 Crítica No Tenable
Listado de referencias
Tenable - [R2] Tenable Identity Exposure Version 3.77.17 Fixes Multiple Vulnerabilities
Tenable Identity Exposure 2026 On-Premises Release Notes
Etiquetas