Vulnerabilidad en nltk (CVE-2026-33230)

Gravedad CVSS v3.1:

MEDIA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

20/03/2026

Última modificación:

23/03/2026

Descripción

NLTK (Natural Language Toolkit) es un conjunto de módulos Python de código abierto, conjuntos de datos y tutoriales que apoyan la investigación y el desarrollo en Procesamiento del Lenguaje Natural. En las versiones 3.9.3 y anteriores, `nltk.app.wordnet_app` contiene una vulnerabilidad de cross-site scripting reflejado en la ruta &#39;lookup_...&#39;. Una URL &#39;lookup_&#39; manipulada puede inyectar HTML/JavaScript arbitrario en la página de respuesta porque los datos &#39;word&#39; controlados por el atacante se reflejan en HTML sin escapar. Esto afecta a los usuarios que ejecutan el servidor local de WordNet Browser y puede conducir a la ejecución de scripts en el origen del navegador de esa aplicación. El commit 1c3f799607eeb088cab2491dcf806ae83c29ad8f corrige la vulnerabilidad.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.10 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno