Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Talishar (CVE-2026-28428)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-287 Autenticación incorrecta
Fecha de publicación:
06/03/2026
Última modificación:
20/04/2026

Descripción

Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit a9c218e, una vulnerabilidad de omisión de autenticación en la lógica de validación del endpoint de juego de Talishar permite a cualquier atacante no autenticado realizar acciones de juego autenticadas — incluyendo el envío de mensajes de chat y la introducción de entradas de juego — al proporcionar un parámetro authKey vacío (authKey=). La validación del lado del servidor utiliza una comparación laxa que acepta una cadena vacía como credencial válida, mientras que rechaza correctamente las claves no vacías pero incorrectas. Esta asimetría significa que el mecanismo de autenticación puede ser completamente omitido sin conocer ningún token válido. Este problema ha sido parcheado en el commit a9c218e.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.30
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:talishar:talishar:*:*:*:*:*:*:*:* 2026-02-22 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información