jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » CVE-2026-7065

CVE-2026-7065

Vulnerability 2 min lectura vulnerability
Fecha
27 Apr 2026
Actor
vulnerability
Tipo
Vulnerability
Pais
Unknown
Sector
Software
Confianza
medium

CVE-2026-7065

CVE-2026-7065

Descripción de la Vulnerabilidad

CVE-2026-7065 es una vulnerabilidad reportada en el software BidingCC BuildingAI, afectando versiones hasta 26.0.1. La falla se encuentra en la función uploadRemoteFile del componente Remote Upload API, específicamente en el archivo packages/core/src/modules/upload/services/file-storage.service.ts. El problema permite a un atacante manipular el parámetro url para iniciar un ataque de forgery de solicitud del servidor (SSRF). Este tipo de vulnerabilidad permite al atacante acceder a recursos internos de la aplicación sin necesidad de autenticación, ya que se explota mediante la manipulación de URLs externas.

Sistemas Afectados

La vulnerabilidad afecta versiones de BidingCC BuildingAI hasta 26.0.1. El componente específico es el módulo de carga remota (Remote Upload API) que implementa la función uploadRemoteFile, utilizada para manejar archivos subidos desde Internet. Los sistemas que integren este componente en su infraestructura están expuestos a un ataque remoto si no se aplican parches.

Impacto y Exploitabilidad

El impacto de esta vulnerabilidad es moderado, con un puntaje CVSS de 7.3. Un atacante puede iniciar un ataque remoto mediante la manipulación del parámetro url, lo que permite acceder a recursos internos sin validaciones adicionales. La vulnerabilidad ha sido divulgada al público, lo que significa que existen herramientas o técnicas disponibles para explotarla. Sin mitigaciones, podría llevar a la exposición de información sensible o incluso a la alteración de datos críticos.

Indicadores de Compromiso (IOCs)

No hay Indicadores de Compromiso publicos disponibles.

Mitigación y Parches

El desarrollador del proyecto fue informado sobre la vulnerabilidad en un reporte, pero no ha respondido públicamente. Se recomienda que los usuarios actualicen a versiones posteriores de BidingCC BuildingAI si están utilizando el componente afectado. En ausencia de parches oficiales, se sugiere implementar controles adicionales como validación estricta de URLs en la lógica de carga de archivos y monitorear actividad anómala en sistemas que manejan entradas externas.

← Volver al panel de inteligencia

Incidentes recientes

University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable msget.run11 Jun 2026 · observable catalystglobalsolutions.com11 Jun 2026 · observable centrikglobalconsulting.com11 Jun 2026 · observable cydfconsulting.com11 Jun 2026 · observable