Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en Teampass

Fecha de publicación 31/03/2026
Identificador
INCIBE-2026-244
Importancia
5 - Crítica
Recursos Afectados

Teampass, versiones anteriores a 3.1.5.16.

Descripción

INCIBE ha coordinado la publicación de 2 vulnerabilidades de severidad crítica, que afectan a Teampass, un gestor de contraseñas. Las vulnerabilidades han sido descubiertas por Julen Garrido Estévez (B3xal).

A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:

  • CVE-2026-3106 y CVE-2026-3107: CVSS v4.0: 9.1 | CVSS: AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-79
Solución

Las vulnerabilidades se han corregido en la versión 3.1.5.24.

Detalle
  • CVE-2026-3106: Cross-Site Scripting (XSS) ciego en Teampass, versiones anteriores a la 3.1.5.16, dentro de la funcionalidad de inicio de sesión del gestor de contraseñas en el parámetro 'contraseña' del formulario de inicio de sesión 'redacted/index.php'. Durante los intentos fallidos de autenticación, la aplicación no limpia ni codifica correctamente la información introducida por el usuario en el campo de nombre de usuario. Como resultado, el código JavaScript arbitrario se ejecuta automáticamente en el navegador del administrador al ver las entradas de inicio de sesión fallidas, lo que da lugar a una condición XSS ciego.
  • CVE-2026-3107: Cross-Site Scripting (XSS) almacenado en las versiones de Teampass anteriores a la 3.1.5.16, que afecta a la funcionalidad de importación de contraseñas del gestor de contraseñas en el endpoint 'redacted/index.php?page=items'. La aplicación no limpia ni codifica correctamente los datos introducidos por el usuario durante el proceso de importación, lo que permite que las cargas maliciosas de JavaScript se almacenen de forma persistente en la base de datos. Cuando otros usuarios ven las contraseñas importadas, la carga se ejecuta automáticamente en sus navegadores, lo que da lugar a una condición XSS almacenada en el endpoint 'redacted/index.php?page=items'. Aprovechar esta vulnerabilidad permite a un atacante ejecutar código JavaScript arbitrario en el contexto de múltiples usuarios y del administrador, lo que puede dar lugar al secuestro de sesiones, el robo de credenciales, el abuso de privilegios y el compromiso de la integridad de la aplicación.
CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-3106 Crítica No Teampass
CVE-2026-3107 Crítica No Teampass
Listado de referencias
Página web de Teampass
Etiquetas