Vulnerabilidad en OpenSift (CVE-2026-27169)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-79 Neutralización incorrecta de la entrada durante la generación de la página web (Cross-site Scripting)

Fecha de publicación:

21/02/2026

Última modificación:

23/02/2026

Descripción

OpenSift es una herramienta de estudio de IA que tamiza grandes conjuntos de datos utilizando búsqueda semántica e IA generativa. Las versiones 1.1.2-alpha e inferiores renderizan contenido no confiable de usuario/modelo en las superficies de la interfaz de usuario de la herramienta de chat utilizando patrones de interpolación HTML inseguros, lo que lleva a XSS. El contenido almacenado puede ejecutar JavaScript cuando se visualiza posteriormente en sesiones autenticadas. Un atacante que puede influir en el contenido almacenado de estudio/cuestionario/tarjetas didácticas podría desencadenar la ejecución de scripts en el navegador de una víctima, realizando potencialmente acciones como ese usuario en la sesión de la aplicación local. Este problema ha sido solucionado en la versión 1.1.3-alpha.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.90 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:R/S:C/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Obligatorio
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo