Vulnerabilidad en ClipBucket (CVE-2026-25728)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

10/02/2026

Última modificación:

18/02/2026

Descripción

ClipBucket v5 es una plataforma de código abierto para compartir videos. Antes de la versión 5.5.3 - #40, existe una vulnerabilidad de condición de carrera de Tiempo de Verificación a Tiempo de Uso (TOCTOU) en la funcionalidad de carga de avatares e imágenes de fondo de ClipBucket. La aplicación mueve los archivos cargados a una ubicación accesible desde la web antes de validarlos, creando una ventana donde un atacante puede ejecutar código PHP arbitrario antes de que el archivo sea eliminado. El archivo cargado fue movido a una ruta accesible desde la web a través de move_uploaded_file(), luego validado a través de ValidateImage(). Si la validación fallaba, el archivo era eliminado a través de @unlink(). Esta vulnerabilidad está corregida en 5.5.3 - #40.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.30 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

9.30

Gravedad 4.0

CRÍTICA

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto