Vulnerabilidad en juju de Canonical (CVE-2026-1237)

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

28/01/2026

Última modificación:

29/01/2026

Descripción

Autorización entre modelos vulnerable en juju. Si los permisos entre modelos de un charm son revocados o expiran, un usuario malintencionado que es capaz de actualizar registros de la base de datos puede acuñar un macaroon inválido que es validado incorrectamente por el controlador de juju, permitiendo que un charm mantenga permisos que de otro modo estarían revocados o expirados. Esto permite a un charm continuar relacionándose con otro charm en una relación entre modelos, y usar su carga de trabajo sin su permiso. No hay solución disponible al momento de escribir.

Impacto

Vector 4.0

CVSS:4.0/AV:A/AC:H/AT:P/PR:L/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: CVSS:4.0/AV:A/AC:H/AT:P/PR:L/UI:N/VC:L/VI:L/VA:L/SC:L/SI:L/SA:L

Vector de acceso (AV): Red adyacente
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Bajo
Availability (VA): Bajo
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0

2.10

Gravedad 4.0

BAJA

Referencias a soluciones, herramientas e información

https://github.com/juju/juju/security/advisories/GHSA-j477-6vpg-6c8x