Vulnerabilidad en awesome-llm-apps (CVE-2026-29872)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

30/03/2026

Última modificación:

06/04/2026

Descripción

Existe una vulnerabilidad de revelación de información entre sesiones en el proyecto awesome-llm-apps en el commit e46690f99c3f08be80a9877fab52acacf7ab8251 (19-01-2026). El agente GitHub MCP basado en Streamlit afectado almacena tokens de API proporcionados por el usuario en variables de entorno a nivel de proceso usando os.environ sin un aislamiento de sesión adecuado. Debido a que Streamlit sirve a múltiples usuarios concurrentes desde un único proceso de Python, las credenciales proporcionadas por un usuario permanecen accesibles para usuarios no autenticados posteriores. Un atacante puede explotar este problema para recuperar información sensible como Tokens de Acceso Personal de GitHub o claves de API de LLM, lo que podría llevar a un acceso no autorizado a recursos privados y abuso financiero.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.20

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:theunwindai:awesome_llm_apps:2026-01-19:::::::*

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/lilmingwa13/security-research/blob/main/CVE-2026-29872.md