Vulnerabilidad en Static Web Server (SWS) (CVE-2026-27480)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

21/02/2026

Última modificación:

24/02/2026

Descripción

Servidor Web Estático (SWS) es un servidor web listo para producción, adecuado para archivos web estáticos o activos. En las versiones 2.1.0 a la 2.40.1, una vulnerabilidad de enumeración de nombres de usuario basada en tiempo en la Autenticación Básica permite a los atacantes identificar usuarios válidos explotando respuestas tempranas para nombres de usuario inválidos, lo que permite ataques de fuerza bruta dirigidos o de relleno de credenciales. SWS verifica si un nombre de usuario existe antes de verificar la contraseña, haciendo que los nombres de usuario válidos sigan una ruta de código más lenta (por ejemplo, el hash bcrypt) mientras que los nombres de usuario inválidos reciben una respuesta 401 inmediata. Esta discrepancia de tiempo permite a los atacantes enumerar cuentas válidas midiendo las diferencias en el tiempo de respuesta. Este problema ha sido solucionado en la versión 2.41.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno