Vulnerabilidad en ZimaOS de IceWhaleTech (CVE-2026-21891)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-287 Autenticación incorrecta

Fecha de publicación:

08/01/2026

Última modificación:

12/01/2026

Descripción

ZimaOS es un fork de CasaOS, un sistema operativo para dispositivos Zima y sistemas x86-64 con UEFI. En versiones hasta la 1.5.0 inclusive, la aplicación verifica la validez del nombre de usuario, pero parece omitir, malinterpretar o validar incorrectamente la contraseña cuando el nombre de usuario proporcionado coincide con una cuenta de servicio de sistema conocida. La función de inicio de sesión de la aplicación no maneja correctamente el resultado de la validación de la contraseña para estos usuarios, otorgando efectivamente acceso autenticado a cualquiera que conozca uno de estos nombres de usuario comunes y proporcione cualquier contraseña. A la fecha de publicación, no hay versiones parcheadas conocidas disponibles.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.40 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo