Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Wings (CVE-2026-26016)

Gravedad CVSS v4.0:
CRÍTICA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
19/02/2026
Última modificación:
20/02/2026

Descripción

Wings es el plano de control del servidor para Pterodactyl, un panel de gestión de servidores de juegos gratuito y de código abierto. Antes de la versión 1.12.1, una falta de verificación de autorización en múltiples controladores permite a cualquier usuario con acceso a un token secreto de nodo obtener información sobre cualquier servidor en una instancia de Pterodactyl, incluso si ese servidor está asociado con un nodo diferente. Este problema se deriva de la falta de lógica para verificar que el nodo que solicita datos del servidor es el mismo nodo con el que está asociado el servidor. Cualquier nodo Wings autenticado puede recuperar scripts de instalación de servidores (que potencialmente contienen valores secretos) y manipular el estado de instalación de servidores pertenecientes a otros nodos. Los nodos Wings también pueden manipular el estado de transferencia de servidores pertenecientes a otros nodos. Esta vulnerabilidad requiere que un usuario adquiera un token de acceso secreto para un nodo. A menos que un usuario obtenga acceso a un token de acceso secreto de Wings, no podría acceder a ninguno de estos puntos finales vulnerables, ya que cada punto final requiere un token de acceso de nodo válido. Un único token de demonio de nodo Wings comprometido (almacenado en texto plano en '/etc/pterodactyl/config.yml') otorga acceso a datos de configuración sensibles de cada servidor en el panel, en lugar de solo a los servidores a los que el nodo tiene acceso. Un atacante puede usar esta información para moverse lateralmente a través del sistema, enviar notificaciones excesivas, destruir datos de servidores en otros nodos y, de otro modo, exfiltrar secretos a los que no debería tener acceso con solo un token de nodo. Además, activar un éxito de transferencia falso hace que el panel elimine el servidor del nodo de origen, lo que resulta en una pérdida permanente de datos. Los usuarios deben actualizar a la versión 1.12.1 para recibir una solución.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.20 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:L/SA:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0
9.20
Gravedad 4.0
CRÍTICA
Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
8.10
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:pterodactyl:panel:*:*:*:*:*:*:*:* 1.12.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información