Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en LiveCode (CVE-2026-27701)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-94 Control incorrecto de generación de código (Inyección de código)
Fecha de publicación:
25/02/2026
Última modificación:
27/02/2026

Descripción

LiveCode es un entorno de pruebas de código de código abierto, del lado del cliente. Antes del commit e151c64c2bd80d2d53ac1333f1df9429fe6a1a11, el flujo de trabajo de GitHub Actions 'i18n-update-pull' de LiveCode es vulnerable a la inyección de JavaScript. El título de la Pull Request asociado con el comentario de la incidencia que lo activa se interpola directamente en un bloque de JavaScript 'actions/github-script' utilizando una expresión de plantilla de GitHub Actions. Un atacante que abre una PR con un título manipulado puede inyectar JavaScript arbitrario que se ejecuta con los privilegios del token del bot de CI ('CI_APP_ID' / 'CI_APP_PRIVATE_KEY'), lo que permite la exfiltración de secretos del repositorio y operaciones no autorizadas de la API de GitHub. El commit e151c64c2bd80d2d53ac1333f1df9429fe6a1a11 soluciona el problema.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:H/VA:N/SC:H/SI:H/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Alto
Availability (SA): Ninguno

Puntuación base 4.0
8.80
Gravedad 4.0
ALTA

Referencias a soluciones, herramientas e información