CVE-2026-32116

Gravedad CVSS v4.0:

ALTA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

12/03/2026

Última modificación:

12/03/2026

Descripción

*** Pendiente de traducción *** Magic Wormhole makes it possible to get arbitrary-sized files and directories from one computer to another. From 0.21.0 to before 0.23.0, receiving a file (wormhole receive) from a malicious party could result in overwriting critical local files, including ~/.ssh/authorized_keys and .bashrc. This could be used to compromise the receiver&#39;s computer. Only the sender of the file (the party who runs wormhole send) can mount the attack. Other parties (including the transit/relay servers) are excluded by the wormhole protocol. This vulnerability is fixed in 0.23.0.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:H/VA:N/SC:N/SI:H/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Activo
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Alto
Availability (SA): Ninguno

Puntuación base 4.0

8.20

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/magic-wormhole/magic-wormhole/security/advisories/GHSA-4g4c-mfqg-pj8r