Vulnerabilidad en Vociferous de WanderingAstronomer (CVE-2026-27897)
Gravedad CVSS v3.1:
CRÍTICA
Tipo:
CWE-22
Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
11/03/2026
Última modificación:
20/03/2026
Descripción
Vociferous proporciona conversión de voz a texto multiplataforma y sin conexión con refinamiento de IA local. Antes de la versión 4.4.2, la vulnerabilidad existe en src/api/system.py dentro de la ruta export_file. La aplicación acepta una carga útil JSON que contiene un nombre de archivo y contenido. Si bien el desarrollador pretendía que un diálogo de interfaz de usuario nativo manejara la ruta del archivo, la API no valida la cadena del nombre de archivo antes de que sea procesada por la lógica del sistema de archivos del backend. Debido a que la API no está autenticada y la configuración CORS en app.py es excesivamente permisiva (allow_origins=['*'] o permitiendo localhost), un atacante externo puede omitir la interfaz de usuario por completo. Al usar secuencias de salto de directorio (../), un atacante puede forzar a la aplicación a escribir datos arbitrarios en cualquier ubicación accesible por los permisos del usuario actual. Esta vulnerabilidad se corrige en la versión 4.4.2.
Impacto
Puntuación base 3.x
10.00
Gravedad 3.x
CRÍTICA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:wanderingastronomer:vociferous:*:*:*:*:*:*:*:* | 4.4.2 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página