Vulnerabilidad en runtipi (CVE-2026-32729)

Gravedad CVSS v3.1:

ALTA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

16/03/2026

Última modificación:

17/03/2026

Descripción

Runtipi es un orquestador de homeserver personal. Antes de 4.8.1, el endpoint /api/auth/verify-totp de Runtipi no aplica ningún mecanismo de limitación de velocidad, conteo de intentos o bloqueo de cuenta. Un atacante que ha obtenido credenciales válidas de un usuario (mediante phishing, relleno de credenciales o violación de datos) puede forzar por fuerza bruta el código TOTP de 6 dígitos para eludir completamente la autenticación de dos factores. La sesión de verificación TOTP persiste durante 24 horas (TTL de caché predeterminado), proporcionando una ventana excesiva durante la cual el espacio de claves completo de 1.000.000 códigos (000000–999999) puede ser agotado. A tasas de solicitud prácticas (~500 solicitudes/s), el ataque se completa en aproximadamente 33 minutos en el peor de los casos. Esta vulnerabilidad está corregida en 4.8.1.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.10 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Ninguno

Puntuación base 3.x

8.10

Gravedad 3.x

ALTA

Productos y versiones vulnerables

CPE	Desde	Hasta
cpe:2.3:a:runtipi:runtipi::::::::		4.8.1 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página

Referencias a soluciones, herramientas e información

https://github.com/runtipi/runtipi/security/advisories/GHSA-v6gf-frxm-567w