Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en Talishar (CVE-2026-28429)

Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
06/03/2026
Última modificación:
09/03/2026

Descripción

Talishar es un proyecto de Flesh and Blood creado por fans. Antes del commit 6be3871, una vulnerabilidad de salto de ruta fue identificada en el parámetro gameName. Aunque los puntos de entrada principales de la aplicación implementan validación de entrada, el componente ParseGamestate.PHP puede ser accedido directamente como un script independiente. En este escenario, la ausencia de saneamiento interno permite que secuencias de salto de directorio (p. ej., ../) sean procesadas, lo que podría llevar a un acceso no autorizado a archivos. Este problema ha sido parcheado en el commit 6be3871.

Impacto

Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA

Referencias a soluciones, herramientas e información