Vulnerabilidad en Jirafeau (CVE-2026-1466)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

28/01/2026

Última modificación:

12/02/2026

Descripción

Jirafeau normalmente impide la previsualización del navegador para archivos de texto debido a la posibilidad de que, por ejemplo, documentos SVG y HTML pudieran ser explotados para cross-site scripting. Esto se hacía almacenando el tipo MIME de un archivo y permitiendo solo la previsualización del navegador para tipos MIME que comienzan con &#39;image&#39; (excepto para &#39;image/svg+xml&#39;, ver CVE-2022-30110, CVE-2024-12326 y CVE-2025-7066), video y audio. Sin embargo, era posible eludir esta comprobación enviando una solicitud HTTP manipulada con un tipo MIME inválido como &#39;image&#39;. Al realizar la previsualización, el navegador intenta detectar automáticamente el tipo MIME, lo que resulta en la detección de SVG y posiblemente la ejecución de código JavaScript. Para evitar esto, el MIME sniffing está deshabilitado enviando la cabecera HTTP X-Content-Type-Options: nosniff.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno