Vulnerabilidad en vaadin (CVE-2026-2742)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

10/03/2026

Última modificación:

11/03/2026

Descripción

Una vulnerabilidad de omisión de autenticación existe en Vaadin 14.0.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.7 y 25.0.0 hasta 25.0.1, aplicaciones que usan Spring Security debido a la coincidencia inconsistente de patrones de ruta de las rutas reservadas del framework. Acceder al endpoint /VAADIN sin una barra diagonal final omite los filtros de seguridad, y permite a los usuarios no autenticados activar la inicialización del framework y crear sesiones sin la autorización adecuada. Los usuarios de las versiones afectadas que usan Spring Security deben actualizar de la siguiente manera: 14.0.0-14.14.0 actualizar a 14.14.1, 23.0.0-23.6.6 a 23.6.7, 24.0.0 - 24.9.7 a 24.9.8, y 25.0.0-25.0.1 actualizar a 25.0.2 o más reciente. Tenga en cuenta que las versiones de Vaadin 10-13 y 15-22 ya no son compatibles y debe actualizar a la última versión 14, 23, 24 o 25.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L/S:N/AU:Y/R:A/V:D/RE:L/U:Amber CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:L/S:N/AU:Y/R:A/V:D/RE:L/U:Amber

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Bajo
Safety (S): Negligible
Automatable (AU): Si
Recovery (R): Automático
Value Density (V): Diffuse
Vulnerability Response Effort (RE): Bajo
Provider Urgency (U): Amber

Puntuación base 4.0

5.30

Gravedad 4.0

MEDIA

Vulnerabilidad en vaadin (CVE-2026-2742)

Descripción

Impacto

Referencias a soluciones, herramientas e información