Vulnerabilidad en Altium 365 (CVE-2026-1181)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-284 Control de acceso incorrecto

Fecha de publicación:

19/01/2026

Última modificación:

26/01/2026

Descripción

Los puntos finales del espacio de trabajo de Altium 365 fueron configurados con una política de Intercambio de Recursos de Origen Cruzado (CORS) excesivamente permisiva que permitía solicitudes de origen cruzado con credenciales desde otros subdominios controlados por Altium, incluyendo forum.live.altium.com. Como resultado, el JavaScript que se ejecutaba en esos orígenes podía acceder a las API autenticadas del espacio de trabajo en el contexto de un usuario con sesión iniciada. Cuando se encadena con vulnerabilidades en esas aplicaciones externas, esta mala configuración permite el acceso no autorizado a los datos del espacio de trabajo, acciones administrativas y la elusión de los controles de inclusión en lista blanca de IP, incluso en entornos GovCloud.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.00 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.00

Gravedad 3.x

CRÍTICA

Referencias a soluciones, herramientas e información

https://www.altium.com/platform/security-compliance/security-advisories