Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en preact de preactjs (CVE-2026-22028)

Gravedad CVSS v4.0:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
08/01/2026
Última modificación:
12/01/2026

Descripción

Preact, un framework ligero de desarrollo web, protección de serialización JSON para evitar que los elementos del DOM Virtual se construyan a partir de JSON arbitrario. Una regresión introducida en Preact 10.26.5 hizo que esta protección se suavizara. En aplicaciones donde se asume que los valores de las cargas útiles JSON son cadenas y se pasan sin modificar a Preact como hijos, se podría construir una carga útil JSON especialmente diseñada que sería tratada incorrectamente como un VNode válido. Cuando esta cadena de fallos ocurre, puede resultar en inyección HTML, lo que puede permitir la ejecución arbitraria de scripts si no se mitiga mediante CSP u otros medios. Las aplicaciones que utilizan versiones afectadas de Preact son vulnerables si cumplen todas las siguientes condiciones: primero, pasan valores sin modificar y sin sanear de fuentes de datos modificables por el usuario (APIs, bases de datos, almacenamiento local, etc.) directamente al árbol de renderizado; segundo, asumen que estos valores son cadenas pero la fuente de datos podría devolver objetos JavaScript reales en lugar de cadenas JSON; y tercero, la fuente de datos o bien no realiza la sanitización de tipos Y almacena/devuelve ciegamente objetos sin procesar indistintamente con cadenas, O está comprometida (p. ej., almacenamiento local, sistema de archivos o base de datos envenenados). Las versiones 10.26.10, 10.27.3 y 10.28.2 aplican un parche al problema. Las versiones del parche restauran las comprobaciones de igualdad estricta anteriores que evitan que los objetos analizados por JSON sean tratados como VNodes válidos. Otras mitigaciones están disponibles para aquellos que no pueden actualizar de inmediato. Validar tipos de entrada, convertir o validar datos de red, sanear datos externos y usar la Política de Seguridad de Contenido (CSP).

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 7.20 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0
7.20
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.10
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:preactjs:preact:*:*:*:*:*:node.js:*:* 10.26.5 (incluyendo) 10.26.10 (excluyendo)
cpe:2.3:a:preactjs:preact:*:*:*:*:*:node.js:*:* 10.27.0 (incluyendo) 10.27.3 (excluyendo)
cpe:2.3:a:preactjs:preact:*:*:*:*:*:node.js:*:* 10.28.0 (incluyendo) 10.28.2 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información