Vulnerabilidad en DSAI-Cline (CVE-2026-30313)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-94 Control incorrecto de generación de código (Inyección de código)

Fecha de publicación:

30/03/2026

Última modificación:

08/04/2026

Descripción

El módulo de autoaprobación de comandos de DSAI-Cline contiene una vulnerabilidad crítica de inyección de comandos del sistema operativo que hace que su mecanismo de seguridad de lista blanca sea completamente ineficaz. El sistema se basa en el análisis de cadenas para validar comandos; si bien intercepta operadores peligrosos como ;, &amp;&amp;, ||, | y patrones de sustitución de comandos, no tiene en cuenta los caracteres de nueva línea sin procesar incrustados en la entrada. Un atacante puede construir una carga útil incrustando una nueva línea literal entre un comando de lista blanca y código malicioso (por ejemplo, git log malicious_command), lo que obliga a DSAI-Cline a identificarlo erróneamente como una operación segura y aprobarlo automáticamente. El intérprete de PowerShell subyacente trata la nueva línea como un separador de comandos, ejecutando ambos comandos secuencialmente, lo que resulta en ejecución remota de código sin ninguna interacción del usuario.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.80 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto