Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Vitess (CVE-2026-27965)

Gravedad CVSS v4.0:
ALTA
Tipo:
CWE-78 Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
26/02/2026
Última modificación:
02/03/2026

Descripción

Vitess es un sistema de clústeres de bases de datos para el escalado horizontal de MySQL. Antes de las versiones 23.0.3 y 22.0.4, cualquier persona con acceso de lectura/escritura a la ubicación de almacenamiento de copias de seguridad (por ejemplo, un bucket S3) podía manipular los archivos de manifiesto de las copias de seguridad para que posteriormente se ejecutara código arbitrario al restaurar dichas copias. Esto se puede utilizar para proporcionar al atacante un acceso no deseado/no autorizado al entorno de implementación de producción, lo que le permite acceder a la información disponible en ese entorno, así como ejecutar cualquier comando arbitrario adicional en él. Las versiones 23.0.3 y 22.0.4 contienen un parche. Hay algunas soluciones alternativas disponibles. Aquellos que tengan intención de utilizar un descompresor externo pueden especificar siempre ese comando de descompresión en el valor del indicador '--external-decompressor' para 'vttablet' y 'vtbackup'. Esto anula cualquier valor especificado en el archivo de manifiesto. Aquellos que no tengan intención de utilizar un descompresor externo ni uno interno pueden especificar un valor como «cat» o «tee» en el valor del indicador '--external-decompressor' para 'vttablet' y 'vtbackup'a fin de garantizar que siempre se utilice un comando inofensivo.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.40 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:H/VI:H/VA:L/SC:L/SI:L/SA:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Alto
Interacción del usuario (UI): Passsive
Confidentiality (VC): Alto
Integrity (VI): Alto
Availability (VA): Bajo
Confidentiality (SC): Bajo
Integrity (SI): Bajo
Availability (SA): Bajo

Puntuación base 4.0
8.40
Gravedad 4.0
ALTA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 9.90 CRÍTICA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Modificado
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
9.90
Gravedad 3.x
CRÍTICA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:linuxfoundation:vitess:*:*:*:*:*:*:*:* 22.0.4 (excluyendo)
cpe:2.3:a:linuxfoundation:vitess:*:*:*:*:*:*:*:* 23.0.0 (incluyendo) 23.0.3 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información