Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en support de @appium (CVE-2026-30973)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
10/03/2026
Última modificación:
12/03/2026

Descripción

Appium es un framework de automatización que proporciona posibilidades de automatización basadas en WebDriver para una amplia gama de plataformas. Antes de la versión 7.0.6, @appium/support contiene una implementación de extracción ZIP (extractAllTo() a través de ZipExtractor.extract()) con una verificación de salto de ruta (Zip Slip) que no es funcional. La verificación en la línea 88 de packages/support/lib/zip.js crea un objeto Error pero nunca lo lanza, permitiendo que entradas ZIP maliciosas con componentes de ruta ../ escriban archivos fuera del directorio de destino previsto. Esto afecta a todas las extracciones basadas en JS (la ruta de código predeterminada), no solo a aquellas que utilizan la opción fileNamesEncoding. Esta vulnerabilidad se corrige en la versión 7.0.6.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.50 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.50
Gravedad 3.x
MEDIA

Referencias a soluciones, herramientas e información