Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Inspektor Gadget (CVE-2026-24905)

Gravedad CVSS v4.0:
MEDIA
Tipo:
CWE-77 Neutralización incorrecta de elementos especiales usados en un comando (Inyección de comando)
Fecha de publicación:
29/01/2026
Última modificación:
16/03/2026

Descripción

Inspektor Gadget es un conjunto de herramientas y un framework para la recopilación de datos e inspección de sistemas en clústeres de Kubernetes y hosts Linux usando eBPF. El binario `ig` proporciona un subcomando para la construcción de imágenes, utilizado para generar imágenes OCI de gadgets personalizadas. Una parte de esta funcionalidad está implementada en el archivo `inspektor-gadget/cmd/common/image/build.go`. El archivo `Makefile.build` es la plantilla de Makefile empleada durante el proceso de construcción. Este archivo incluye datos controlados por el usuario de manera insegura; específicamente, algunos parámetros se incrustan sin un escape adecuado en los comandos dentro del Makefile. Antes de la versión 0.48.1, esta implementación es vulnerable a inyección de comandos: un atacante capaz de controlar valores en la estructura `buildOptions` podría ejecutar comandos arbitrarios durante el proceso de construcción. Un atacante capaz de explotar esta vulnerabilidad podría ejecutar comandos arbitrarios en el host Linux donde se lanza el comando `ig`, si las imágenes se construyen con la bandera `--local` o en el contenedor de construcción invocado por `ig`, si la bandera `--local` no se proporciona. La estructura `buildOptions` se extrae del manifiesto YAML del gadget pasado al comando `ig image build`. Por lo tanto, el atacante necesitaría una forma de controlar el archivo `build.yml` completo pasado al comando `ig image build`, o una de sus opciones. Típicamente, esto podría ocurrir en un escenario de CI/CD que construye gadgets no confiables para verificar su corrección. La versión 0.48.1 corrige el problema.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.60 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:P

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0
6.60
Gravedad 4.0
MEDIA
Vector 3.x
CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.80 ALTA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.80
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:linuxfoundation:inspektor_gadget:*:*:*:*:*:*:*:* 0.48.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información