Vulnerabilidad en Talishar de Flesh and Blood (CVE-2026-27632)

Gravedad CVSS v3.1:

BAJA

Tipo:

CWE-352 Falsificación de petición en sitios cruzados (Cross-Site Request Forgery)

Fecha de publicación:

25/02/2026

Última modificación:

27/02/2026

Descripción

Talishar es un proyecto de Flesh and Blood hecho por fans. Antes del commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48, la aplicación Talishar carece de protecciones contra falsificación de petición en sitios cruzados (CSRF) en endpoints críticos que cambian el estado, específicamente dentro de &#39;SubmitChat.php&#39; y otros manejadores de interacción del juego. Al no requerir tokens de sesión únicos e impredecibles, la aplicación permite a sitios web maliciosos de terceros falsificar peticiones en nombre de usuarios autenticados, lo que lleva a acciones no autorizadas dentro de sesiones de juego activas. El atacante necesitaría conocer tanto el gameName como el playerID correctos para el jugador. El jugador también necesitaría estar navegando e interactuando con el sitio web infectado mientras juega una partida. La vulnerabilidad está corregida en el commit 6be3871a14c192d1fb8146cdbc76f29f27c1cf48.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 2.60 BAJA
Vector: CVSS:3.1/AV:N/AC:H/PR:L/UI:R/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

2.60

Gravedad 3.x

BAJA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:talishar:talishar::::::::		2026-02-22 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/Talishar/Talishar/security/advisories/GHSA-73mm-323r-cm3g