Vulnerabilidad en Semantic-kernel de Microsoft (CVE-2026-25592)

Gravedad CVSS v3.1:

CRÍTICA

Tipo:

CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)

Fecha de publicación:

06/02/2026

Última modificación:

19/02/2026

Descripción

Semantic Kernel es un SDK utilizado para construir, orquestar y desplegar agentes de IA y sistemas multiagente. Antes de la versión 1.70.0, se ha identificado una vulnerabilidad de escritura arbitraria de archivos en el SDK .NET de Semantic Kernel de Microsoft, específicamente dentro del SessionsPythonPlugin. El problema ha sido solucionado en la versión 1.70.0 de Microsoft.SemanticKernel.Core. Como mitigación, los usuarios pueden crear un Filtro de Invocación de Función que verifica los argumentos que se pasan a cualquier llamada a DownloadFileAsync o UploadFileAsync y asegura que el localFilePath proporcionado esté en una lista de permitidos.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

9.90

Gravedad 3.x

CRÍTICA

Vulnerabilidad en Semantic-kernel de Microsoft (CVE-2026-25592)

Descripción

Impacto

Referencias a soluciones, herramientas e información