Vulnerabilidad en OliveTin (CVE-2026-27626)

OliveTin da acceso a comandos de shell predefinidos desde una interfaz web. En versiones hasta la 3000.10.0 inclusive, la comprobación de seguridad del modo shell de OliveTin ('checkShellArgumentSafety') bloquea varios tipos de argumentos peligrosos, pero no 'password'. Un usuario que proporciona un argumento de tipo 'password' puede inyectar metacaracteres de shell que ejecutan comandos arbitrarios del sistema operativo. Un segundo vector independiente permite RCE no autenticada a través de valores JSON extraídos de webhooks que omiten por completo las comprobaciones de seguridad de tipo antes de llegar a 'sh -c'. Al explotar el vector 1, cualquier usuario autenticado (registro habilitado por defecto, 'authType: none' por defecto) puede ejecutar comandos arbitrarios del sistema operativo en el host de OliveTin con los permisos del proceso de OliveTin. Al explotar el vector 2, un atacante no autenticado puede lograr lo mismo si la instancia recibe webhooks de fuentes externas, lo cual es un caso de uso principal de OliveTin. Cuando un atacante explota ambos vectores, esto resulta en RCE no autenticada en cualquier instancia de OliveTin que utiliza el modo Shell con acciones activadas por webhook. En el momento de la publicación, no hay disponible una versión parcheada.