Vulnerabilidad en nhost (CVE-2026-33221)

Gravedad CVSS v4.0:

BAJA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

20/03/2026

Última modificación:

23/03/2026

Descripción

Nhost es una alternativa de código abierto a Firebase con GraphQL. Antes de la versión 0.12.0, el gestor de carga de archivos del servicio de almacenamiento confía en el encabezado Content-Type proporcionado por el cliente sin realizar detección de tipo MIME en el servidor. Esto permite a un atacante subir archivos con un tipo MIME arbitrario, eludiendo cualquier restricción basada en el tipo MIME configurada en los buckets de almacenamiento. Este problema ha sido parcheado en la versión 0.12.0.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.10 BAJA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Activo
Confidentiality (VC): Ninguno
Integrity (VI): Bajo
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

2.10

Gravedad 4.0

BAJA

Vulnerabilidad en nhost (CVE-2026-33221)

Descripción

Impacto

Referencias a soluciones, herramientas e información