Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Saleor (CVE-2026-23499)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)
Fecha de publicación:
21/01/2026
Última modificación:
29/01/2026

Descripción

Saleor es una plataforma de comercio electrónico. A partir de la versión 3.0.0 y antes de las versiones 3.20.108, 3.21.43 y 3.22.27, Saleor permitía a los usuarios de personal autenticados o a las aplicaciones (Apps) subir archivos arbitrarios, incluyendo archivos HTML y SVG maliciosos que contenían Javascript. Dependiendo de la estrategia de despliegue, estos archivos pueden ser servidos desde el mismo dominio que el panel de control sin restricciones, lo que lleva a la ejecución de scripts maliciosos en el contexto del navegador del usuario. Miembros del personal maliciosos podrían crear inyecciones de scripts para atacar a otros miembros del personal, posiblemente robando sus tokens de acceso y/o de actualización. Los usuarios son vulnerables si alojan los archivos multimedia dentro del mismo dominio que el panel de control, p. ej., el panel de control está en 'example.com/dashboard/' y los medios están bajo 'example.com/media/'. No tienen impacto si los archivos multimedia están alojados en un dominio diferente, p. ej., 'media.example.com'. Los usuarios tienen impacto si no devuelven una cabecera 'Content-Disposition: attachment' para los archivos multimedia. Los usuarios de Saleor Cloud no tienen impacto. Este problema ha sido parcheado en las versiones: 3.22.27, 3.21.43 y 3.20.108. Algunas soluciones provisionales están disponibles para aquellos que no pueden actualizar. Configure los servidores que alojan los archivos multimedia (p. ej., CDN o proxy inverso) para que devuelvan la cabecera Content-Disposition: attachment. Esto indica a los navegadores que descarguen el archivo en lugar de renderizarlo en el navegador. Evite que los servidores devuelvan archivos HTML y SVG. Configure una 'Content-Security-Policy' para los archivos multimedia, como 'Content-Security-Policy: default-src 'none'; base-uri 'none'; frame-ancestors 'none'; form-action 'none';'.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.50 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
8.50
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.40 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Bajo
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
5.40
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:saleor:saleor:*:*:*:*:*:*:*:* 3.0.0 (incluyendo) 3.20.108 (excluyendo)
cpe:2.3:a:saleor:saleor:*:*:*:*:*:*:*:* 3.21.0 (incluyendo) 3.21.43 (excluyendo)
cpe:2.3:a:saleor:saleor:*:*:*:*:*:*:*:* 3.22.0 (incluyendo) 3.22.27 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información