Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en vaadin (CVE-2026-2741)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
10/03/2026
Última modificación:
07/05/2026

Descripción

Archivos ZIP especialmente diseñados pueden escapar del directorio de extracción previsto durante la descarga y extracción de Node.js en Vaadin 14.2.0 hasta 14.14.0, 23.0.0 hasta 23.6.6, 24.0.0 hasta 24.9.8, y 25.0.0 hasta 25.0.2.<br /> <br /> El proceso de compilación de Vaadin puede descargar y extraer Node.js automáticamente si no está instalado localmente. Si un atacante puede interceptar o controlar esta descarga a través de secuestro de DNS, un ataque MitM, un espejo comprometido o un ataque a la cadena de suministro, pueden servir un archivo malicioso que contiene secuencias de salto de ruta que escriben archivos fuera del directorio de extracción previsto.<br /> <br /> Los usuarios de las versiones afectadas deben usar una versión de Node.js preinstalada globalmente compatible con su versión de Vaadin, o actualizar de la siguiente manera: 14.2.0-14.14.0 a 14.14.1, 23.0.0-23.6.6 a 23.6.7, 24.0.0-24.9.8 a 24.9.9, y 25.0.0-25.0.2 a 25.0.3 o más reciente.<br /> <br /> Tenga en cuenta que las versiones de Vaadin 10-13 y 15-22 ya no son compatibles y debe actualizar a la última versión 14, 23, 24 o 25.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/S:N/AU:N/R:U/V:D/RE:L/U:Amber CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.30 BAJA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:L/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N/S:N/AU:N/R:U/V:D/RE:L/U:Amber

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Bajo
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Safety (S): Negligible
Automatable (AU): No
Recovery (R): Usuario
Value Density (V): Diffuse
Vulnerability Response Effort (RE): Bajo
Provider Urgency (U): Amber

Puntuación base 4.0
2.30
Gravedad 4.0
BAJA
Vector 3.x
CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 6.80 MEDIA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:N/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
6.80
Gravedad 3.x
MEDIA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* 14.2.0 (incluyendo) 14.14.1 (excluyendo)
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* 15.0.0 (incluyendo) 23.6.7 (excluyendo)
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* 24.0.0 (incluyendo) 24.9.10 (excluyendo)
cpe:2.3:a:vaadin:vaadin:*:*:*:*:*:*:*:* 25.0.0 (incluyendo) 25.0.4 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información