CVE-2026-30230

Gravedad CVSS v4.0:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

06/03/2026

Última modificación:

09/03/2026

Descripción

Flare es una plataforma para compartir archivos autoalojable, basada en Next.js, que se integra con herramientas de captura de pantalla. Antes de la versión 1.7.2, el endpoint de miniaturas no valida la contraseña para los archivos protegidos con contraseña. Verifica la propiedad/administración para archivos privados, pero omite la verificación de la contraseña, permitiendo el acceso a las miniaturas sin la contraseña. Este problema ha sido parcheado en la versión 1.7.2.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

8.20

Gravedad 4.0

ALTA

Referencias a soluciones, herramientas e información

https://github.com/FlintSH/Flare/security/advisories/GHSA-3x7v-x3r6-mjh7