Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

CVE-2026-49356

Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-22 Limitación incorrecta de nombre de ruta a un directorio restringido (Path Traversal)
Fecha de publicación:
22/06/2026
Última modificación:
26/06/2026

Descripción

*** Pendiente de traducción *** Babel is a compiler for writing next generation JavaScript. Prior to 8.0.0-rc.6 and 7.29.6, @babel/core affected by an arbitrary file read via a sourceMappingURL comment. Using @babel/core to compile maliciously crafted code can allow an attacker to read any source map from the system that is running Babel, if the attacker controls the input source code, can read the output source code, and knows the path of the source map file that they want to read. This vulnerability is fixed in 8.0.0-rc.6 and 7.29.6.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:babel:babel:*:*:*:*:*:*:*:* 7.29.6 (excluyendo)
cpe:2.3:a:babel:babel:8.0.0:alpha0:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha1:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha10:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha11:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha12:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha13:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha14:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha15:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha16:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha17:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha2:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha3:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha4:*:*:*:*:*:*
cpe:2.3:a:babel:babel:8.0.0:alpha5:*:*:*:*:*:*


Referencias a soluciones, herramientas e información