Vulnerabilidad en vaadin (CVE-2026-2741)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
10/03/2026
Última modificación:
16/03/2026
Descripción
Archivos ZIP especialmente diseñados pueden escapar del directorio de extracción previsto durante la descarga y extracción de Node.js en Vaadin 14.2.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.8, y 25.0.0 hasta 25.0.2.<br />
<br />
El proceso de compilación de Vaadin puede descargar y extraer Node.js automáticamente si no está instalado localmente. Si un atacante puede interceptar o controlar esta descarga a través de secuestro de DNS, un ataque MitM, un espejo comprometido o un ataque a la cadena de suministro, pueden servir un archivo malicioso que contiene secuencias de salto de ruta que escriben archivos fuera del directorio de extracción previsto.<br />
<br />
Los usuarios de las versiones afectadas deben usar una versión de Node.js preinstalada globalmente compatible con su versión de Vaadin, o actualizar de la siguiente manera: 14.2.0-14.14.0 a 14.14.1, 23.0.0-23.6.6 a 23.6.7, 24.0.0-24.9.8 a 24.9.9, y 25.0.0-25.0.2 a 25.0.3 o más reciente.<br />
<br />
Tenga en cuenta que las versiones de Vaadin 10-13 y 15-22 ya no son compatibles y debe actualizar a la última versión 14, 23, 24 o 25.