Vulnerabilidad en Tendenci (CVE-2026-23946)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

22/01/2026

Última modificación:

17/02/2026

Descripción

Tendenci es un sistema de gestión de contenidos de código abierto creado para organizaciones sin fines de lucro, asociaciones y sitios basados en causas. Las versiones 15.3.11 e inferiores incluyen una vulnerabilidad crítica de deserialización en el módulo Helpdesk (que no está habilitado por defecto). Esta vulnerabilidad permite la ejecución remota de código (RCE) por parte de un usuario autenticado con nivel de seguridad de personal debido al uso del módulo pickle de Python en helpdesk /reports/. El CVE-2020-14942 original se parcheó de forma incompleta. Aunque se corrigió ticket_list() para usar deserialización JSON segura, la función run_report() todavía usa pickle.loads() inseguro. El impacto está limitado a los permisos del usuario que ejecuta la aplicación, típicamente www-data, que generalmente carece de permisos de escritura (excepto para directorios de carga) y ejecución. Este problema ha sido corregido en la versión 15.3.12.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:H/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto