Vulnerabilidad en Checkmate de bluewave-labs (CVE-2026-30829)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-200 Revelación de información

Fecha de publicación:

07/03/2026

Última modificación:

09/03/2026

Descripción

Checkmate es una herramienta de código abierto y autoalojada diseñada para rastrear y monitorear el hardware del servidor, el tiempo de actividad, los tiempos de respuesta y los incidentes en tiempo real con hermosas visualizaciones. Antes de la versión 3.4.0, existe una vulnerabilidad de revelación de información no autenticada en el endpoint GET /api/v1/status-page/:url. El endpoint no aplica autenticación ni verifica si una página de estado está publicada antes de devolver los detalles completos de la página de estado. Como resultado, las páginas de estado no publicadas y sus datos internos asociados son accesibles para cualquier usuario no autenticado a través de solicitudes directas a la API. Este problema ha sido parcheado en la versión 3.4.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/bluewave-labs/Checkmate/security/advisories/GHSA-57xf-wg6w-fjrr