Vulnerabilidad en QGIS de qgis (CVE-2026-24480)

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

27/01/2026

Última modificación:

27/01/2026

Descripción

QGIS es un sistema de información geográfica (SIG) gratuito, de código abierto y multiplataforma. El repositorio contiene un flujo de trabajo de GitHub Actions llamado &#39;pre-commit checks&#39; que, antes del commit 76a693cd91650f9b4e83edac525e5e4f90d954e9, era vulnerable a la ejecución remota de código y al compromiso del repositorio porque utilizaba el disparador &#39;pull_request_target&#39; y luego extraía y ejecutaba código de solicitud de extracción no confiable en un contexto privilegiado. Los flujos de trabajo disparados por &#39;pull_request_target&#39; se ejecutaban con las credenciales del repositorio base y acceso a los secretos. Si estos flujos de trabajo luego extraían y ejecutaban código de la cabecera de una solicitud de extracción externa (que podría haber sido controlado por el atacante), el atacante podría haber ejecutado comandos arbitrarios con privilegios elevados. Este patrón inseguro ha sido documentado como un riesgo de seguridad por GitHub y los investigadores de seguridad. El commit 76a693cd91650f9b4e83edac525e5e4f90d954e9 eliminó el código vulnerable.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.70 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.70

Gravedad 4.0

ALTA

Vulnerabilidad en QGIS de qgis (CVE-2026-24480)

Descripción

Impacto

Referencias a soluciones, herramientas e información