Vulnerabilidad en runtipi (CVE-2026-31881)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

11/03/2026

Última modificación:

16/03/2026

Descripción

Runtipi es un orquestador de homeserver personal. Antes de la versión 4.8.0, un atacante no autenticado puede restablecer la contraseña del operador (administrador) cuando una solicitud de restablecimiento de contraseña está activa, lo que resulta en una toma de control completa de la cuenta. El endpoint POST /api/auth/reset-password está expuesto sin comprobaciones de autenticación/autorización. Durante la ventana de restablecimiento de 15 minutos, cualquier usuario remoto puede establecer una nueva contraseña de operador e iniciar sesión como administrador. Esta vulnerabilidad se corrige en la versión 4.8.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.70 ALTA
Vector: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

7.70

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:runtipi:runtipi::::::::		4.8.0 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/runtipi/runtipi/security/advisories/GHSA-96fm-whrc-cwg3