Vulnerabilidad en NatroMacro de NatroTeam (CVE-2026-28801)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

06/03/2026

Última modificación:

10/03/2026

Descripción

Natro Macro es un macro de código abierto para Bee Swarm Simulator escrito en AutoHotkey. Antes de la versión 1.1.0, cualquier código ahk contenido dentro de un archivo de patrón o ruta es ejecutado por el macro. Dado que los usuarios suelen compartir archivos de ruta/patrón, un atacante podría compartir un archivo que contiene código malicioso, el cual es luego ejecutado por el programa. Este código puede operar en silencio junto con el patrón, ejecutándose en segundo plano para hacer lo que el atacante desee. Este problema ha sido parcheado en la versión 1.1.0.

Impacto

Vector 3.x

CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.60 MEDIA
Vector: CVSS:3.1/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

6.60

Gravedad 3.x

MEDIA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:natroteam:natro_macro::::::::		1.1.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/NatroTeam/NatroMacro/security/advisories/GHSA-c5gm-vfvf-pwhx