Vulnerabilidad en intake (CVE-2026-33310)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)

Fecha de publicación:

24/03/2026

Última modificación:

25/03/2026

Descripción

Intake es un paquete para encontrar, investigar, cargar y difundir datos. Antes de la versión 2.0.9, la sintaxis shell() dentro de los valores predeterminados de los parámetros parece expandirse automáticamente durante el proceso de análisis del catálogo. Si un catálogo contiene un valor predeterminado de parámetro como shell(), el comando puede ejecutarse cuando se accede a la fuente del catálogo. Esto significa que si un usuario carga un YAML de catálogo malicioso, los comandos incrustados podrían ejecutarse en el sistema anfitrión. La versión 2.0.9 mitiga el problema al establecer getshell en False por defecto en todas partes.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.80 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Obligatorio
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto