Vulnerabilidad en Copyparty (CVE-2026-32109)

Copyparty es un servidor de archivos portátil. Antes de la versión 1.20.12, si a un atacante se le han otorgado permisos de lectura y escritura en el servidor, puede cargar un archivo malicioso con el nombre de archivo .prologue.html y luego elaborar un enlace para ejecutar potencialmente JavaScript arbitrario en el contexto de la víctima. Tenga en cuenta que es un comportamiento intencionado que el JavaScript se ejecute si el objetivo hace clic en un enlace al propio archivo HTML; 'https://example.com/foo/.prologue.html'. La vulnerabilidad es que 'https://example.com/foo/?b' también evaluaría el archivo, haciendo que el comportamiento sea inesperado. Existen medidas preventivas (cookies SameSite estrictas) que dificultan el aprovechamiento de esta vulnerabilidad en un ataque; para obtener el control de la sesión autenticada del objetivo, el enlace debe ser clicado desde una página servida por el propio servidor -- muy probablemente editando un recurso existente, lo que requeriría permisos de acceso adicionales. Finalmente, para que este ataque sea exitoso, el objetivo del atacante debe hacer clic en el enlace específico elaborado por el atacante. Esta vulnerabilidad no se activa al navegar normalmente por la interfaz de usuario web en el servidor. Esta vulnerabilidad está corregida en la versión 1.20.12.