Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en HeroDevs (CVE-2025-36852)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
10/06/2025
Última modificación:
12/06/2025

Descripción

Existe una vulnerabilidad de seguridad crítica en las extensiones de caché remota para sistemas de compilación comunes que utilizan caché remota basada en buckets (como los que usan Amazon S3, Google Cloud Storage o almacenamiento de objetos similar). Esta vulnerabilidad permite a cualquier colaborador con privilegios de solicitud de extracción inyectar artefactos comprometidos desde un entorno no confiable en entornos de producción confiables sin ser detectado. Esta vulnerabilidad explota un fallo de diseño fundamental en el principio de "primero en almacenar en caché, gana", según el cual los artefactos compilados en entornos no confiables (ramas de características, solicitudes de extracción) pueden contaminar la caché utilizada por entornos confiables (ramas protegidas, implementaciones de producción). Este ataque elude todas las medidas de seguridad tradicionales, como el cifrado, los controles de acceso y la validación de sumas de comprobación, ya que el envenenamiento se produce durante la fase de construcción del artefacto, antes de que se apliquen las medidas de seguridad.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/S:P/AU:Y/R:U/V:C/RE:M/U:Red CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.40 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/S:P/AU:Y/R:U/V:C/RE:M/U:Red

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Alto
Safety (S): Present
Automatable (AU): Si
Recovery (R): Usuario
Value Density (V): Concentrated
Vulnerability Response Effort (RE): Moderate
Provider Urgency (U): Rojo

Puntuación base 4.0
9.40
Gravedad 4.0
CRÍTICA

Referencias a soluciones, herramientas e información