sistema: OPERATIVO
← volver a categorías

INFRASTRUCTURE

(33)

33 hack(s).

INFRASTRUCTURE MEDIUM NEW

Una petición, una caída: una aserción alcanzable derriba servidores vLLM

Una petición de embeddings dirigida a un modelo multimodal en vLLM dispara una aserción interna y hace caer fatalmente todo el servidor de inferencia — una denegación de servicio autenticada corregida en julio de 2026.

2026-07-17//6 min
INFRASTRUCTURE MEDIUM NEW

Un parche incompleto: las fugas de direcciones de memoria vuelven en las rutas nuevas de vLLM

El parche del fallo crítico de análisis de imágenes en vLLM saneó el enrutador de OpenAI, pero rutas añadidas semanas después siguen devolviendo el texto bruto de las excepciones, filtrando direcciones de montículo y reabriendo una primitiva de evasión de ASLR.

2026-07-17//7 min
INFRASTRUCTURE CRITICAL NEW

Path traversal en Langflow: borrado de directorios arbitrarios del servidor

Un path traversal en la API de borrado de bases de conocimiento de Langflow permite a un usuario autenticado eliminar directorios en cualquier lugar donde el proceso pueda escribir. Corregido en 1.9.0; las versiones 1.8.4 y anteriores están expuestas.

2026-07-17//6 min
INFRASTRUCTURE CRITICAL NEW

SSRF en Azure OpenAI: cuando un servicio de IA gestionado se convierte en un relé de escalada de privilegios

Microsoft divulgó el 2 de julio de 2026 una falla crítica de tipo SSRF en Azure OpenAI. Un usuario autenticado podía forzar al servicio gestionado a alcanzar puntos de acceso internos y escalar privilegios a través de la red.

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

La API Docker de Crawl4AI: cuando un campo de configuración del navegador se convierte en RCE sin autenticación

Una falla de julio de 2026 permitía, mediante un campo de solicitud de un popular rastreador para LLM, colar opciones de arranque de Chromium y ejecutar comandos en el host — sin autenticación, con una sola petición HTTP, CVSS 10.0.

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

ServiceNow AI Platform: un escape de sandbox permite ejecución de código sin autenticación

El 13 de julio de 2026, ServiceNow parcheó un escape de sandbox crítico en su plataforma de IA que permite a un atacante no autenticado ejecutar código en las instancias vulnerables. Un recordatorio: el sandbox que rodea una función de IA es una frontera de seguridad; trátelo como tal.

2026-07-16//5 min
INFRASTRUCTURE CRITICAL NEW

Los filtros de metadatos vectoriales son un sumidero de inyección en Spring AI

Spring AI pasaba cadenas de filtro e identificadores de documentos controlados por el usuario directamente al lenguaje de consulta de cada backend, convirtiendo el filtrado RAG en inyección SQL y de consultas en cinco almacenes vectoriales.

2026-07-16//6 min
INFRASTRUCTURE CRITICAL NEW

Pickle sobre gRPC: RCE sin autenticar en un servidor de políticas robóticas

LeRobot, de Hugging Face, transmitía su canal de inferencia robot-a-política mediante pickle sobre gRPC sin autenticar: cualquier host que alcanzara el puerto obtenía ejecución remota de código. El parche de junio de 2026 elimina pickle.

2026-07-15//6 min
INFRASTRUCTURE CRITICAL NEW

Cuando el cargador de imágenes se vuelve un SSRF: robo de metadatos cloud en nodos vision-LLM

Una falla SSRF en una popular herramienta open source para servir LLM permitió convertir el cargador de imágenes de un modelo de visión en un escáner de metadatos cloud y servicios internos, explotada pocas horas tras su divulgación.

2026-07-15//6 min
INFRASTRUCTURE MEDIUM NEW

vLLM: una sola regex puede congelar un worker de inferencia

Un aviso de julio de 2026 revela que el parámetro regex de las salidas estructuradas de vLLM compilaba los patrones del usuario sin límite de tiempo, permitiendo que una petición manipulada bloquee un worker y corte el servicio. Corregido en 0.24.0.

2026-07-15//5 min
INFRASTRUCTURE CRITICAL NEW

Los endpoints de prueba MCP de LiteLLM: una inyección de comandos ya bajo explotación activa

Un fallo de inyección de comandos en los endpoints de prueba MCP de LiteLLM permite que cualquier clave API del proxy ejecute comandos en el host. Corregido el 8 de mayo de 2026, entró en el catálogo KEV de CISA el 8 de junio tras confirmarse su explotación activa.

2026-07-14//6 min
INFRASTRUCTURE CRITICAL NEW

RCE sin autenticar en el backend RPC de inferencia distribuida de llama.cpp

Una comprobación de límites ausente en el backend RPC de llama.cpp permite que cualquier cliente con acceso al puerto del servidor lea y escriba la memoria del proceso y logre ejecución remota de código. Corregido en b8492.

2026-07-10//6 min
INFRASTRUCTURE MEDIUM NEW

Inyección SQL en posición de identificador en el gateway MCP de Amazon

Un aviso de julio de 2026 corrige una inyección SQL autenticada en el gateway MCP de código abierto de Amazon: un nombre de tabla sin filtrar, en posición de identificador, permitía leer las claves de API almacenadas de los agentes.

2026-07-08//6 min
INFRASTRUCTURE MEDIUM NEW

Las rutas de audio de vLLM cargan toda la subida antes de comprobar su tamaño

Un aviso de julio de 2026 muestra que los endpoints de transcripción y traducción de vLLM leen todo el archivo de audio en memoria antes de aplicar el límite de tamaño, permitiendo agotar la memoria.

2026-07-08//5 min
INFRASTRUCTURE CRITICAL NEW

Secuestro de flujos entre inquilinos en Langflow: el 9.9 que los atacantes ignoraron

Sysdig detectó el primer uso real de un fallo de Langflow que permite a un usuario ejecutar el flujo de otro inquilino — y sus secretos. Puntuado por encima del RCE vecino, apenas lo tocaron.

2026-07-03//6 min
INFRASTRUCTURE CRITICAL NEW

RAGFlow CVE-2026-45312: una plantilla de prompt que ejecuta comandos del sistema

Una inyección de plantilla Jinja2 en el generador de prompts de RAGFlow convierte un campo controlado por el usuario en RCE del lado del servidor. CVSS 9.9, divulgada el 9 de mayo de 2026.

2026-06-20//7 min
INFRASTRUCTURE MEDIUM NEW

SSRF en vLLM: cuando el parche de la allowlist repitió el mismo fallo de parseo

Dos avisos de vLLM muestran el mismo fallo dos veces: una allowlist de hosts validada con un parser de URL y la petición enviada con otro. El parche cambió de parsers y reabrió el bypass.

2026-06-20//6 min
INFRASTRUCTURE MEDIUM NEW

Path traversal en LangChain Core: load_prompt lee archivos arbitrarios

CVE-2026-34070 permite que una configuración de prompt manipulada recorra el sistema de archivos vía load_prompt y exponga secretos .txt/.json/.yaml. Divulgada el 27 de marzo de 2026, corregida en langchain-core 1.2.22.

2026-06-19//6 min
INFRASTRUCTURE MEDIUM NEW

La capa de servicio es la superficie de ataque: fallos de concurrencia en vLLM y SGLang

Un fuzzer de mayo de 2026, GRIEF, trata trazas de peticiones concurrentes como entradas y halla 15 fallos (2 CVE) en vLLM y SGLang: contaminación de salida entre peticiones, denegación de servicio por «vecino ruidoso» y caídas diferidas, sin entradas malformadas.

2026-06-19//8 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-49468: una elusión de autenticación por cabecera Host en el enrutado del gateway

Divulgada el 17 de junio de 2026, CVE-2026-49468 permite que una cabecera Host manipulada desincronice la ruta de autenticación de LiteLLM de la que ejecuta FastAPI — una recaída de BadHost a nivel de aplicación, corregida en LiteLLM 1.84.0.

2026-06-18//6 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-47101→40217: de usuario sin privilegios a admin y RCE

Obsidian Security divulgó (junio de 2026) una cadena de tres fallos en LiteLLM que lleva a un usuario de bajos privilegios a proxy_admin y a la ejecución de código: una toma de control CVSS 9.9 de la pasarela de IA.

2026-06-18//7 min
INFRASTRUCTURE CRITICAL NEW

Langflow CVE-2026-5027: escritura de archivos sin autenticación a RCE, ya explotada

Un path traversal en el endpoint /api/v2/files de Langflow permite que una petición sin autenticación escriba archivos en cualquier parte del disco. VulnCheck confirmó explotación activa el 9 de junio de 2026; ~7.000 instancias están expuestas.

2026-06-16//6 min
INFRASTRUCTURE CRITICAL NEW

ChromaToast: una RCE pre-autenticación en la base vectorial ChromaDB

La divulgación de HiddenLayer del 18 de mayo de 2026 (CVE-2026-45829, CVSS 10.0) muestra que el servidor Python de ChromaDB carga el modelo HuggingFace del atacante y ejecuta su código antes de comprobar la autenticación.

2026-06-12//7 min
INFRASTRUCTURE CRITICAL NEW

Los servidores MCP expuestos, trampolines hacia el secuestro del cloud

Una inyección de comandos en servidores MCP cloud (CVE-2026-5058/5059) permite alcanzar el servicio de metadatos, robar el rol IAM y pivotar hacia toda la cuenta cloud.

2026-06-12//6 min
INFRASTRUCTURE CRITICAL NEW

La entrada multimodal como superficie de ataque: la RCE del decodificador de vídeo de vLLM (CVE-2026-22778)

CVE-2026-22778 convierte una URL de vídeo maliciosa en ejecución remota de código en servidores vLLM, encadenando una fuga de información de PIL con un desbordamiento de montículo en el decodificador JPEG2000 de FFmpeg. Corregido en 0.14.1.

2026-06-12//7 min
INFRASTRUCTURE CRITICAL NEW

LiteLLM CVE-2026-42271: los endpoints de prueba MCP encadenan hacia RCE no autenticada

Divulgada en abril como una inyección de comandos autenticada, la función de vista previa MCP de LiteLLM se convierte en RCE no autenticada al encadenarla con el bypass BadHost de Starlette — añadida al KEV de CISA el 8 de junio de 2026.

2026-06-10//6 min
INFRASTRUCTURE CRITICAL NEW

El endpoint de build público de Langflow: RCE sin autenticar, armado en 20 horas

CVE-2026-33017 convierte el endpoint de build público de Langflow en ejecución remota de código sin autenticación. Divulgada el 17 de marzo de 2026, fue explotada in the wild en 20 horas, antes de que existiera ningún PoC público.

2026-06-07//6 min
INFRASTRUCTURE CRITICAL NEW

El broker ZMQ de SGLang: RCE no autenticada por deserialización de pickle

Tres CVE divulgadas el 12 de marzo de 2026 convierten las llamadas pickle.loads() de SGLang en ejecución remota de código sin autenticación. El parche llegó en la v0.5.10, pero la verdadera lección es que pickle sobre un socket de red es RCE por diseño.

2026-06-04//7 min
INFRASTRUCTURE CRITICAL NEW

LightLLM CVE-2026-26220: pickle en un WebSocket que el servidor obliga a exponer en red

CVE-2026-26220 (divulgada el 15 de febrero de 2026) coloca pickle.loads() en dos endpoints WebSocket sin autenticar del modo prefill-decode de LightLLM — y el servidor se niega a enlazar a localhost, así que la superficie es siempre remota.

2026-06-02//6 min
INFRASTRUCTURE CRITICAL NEW

MCPwn (CVE-2026-33032): un endpoint MCP de nginx-ui entrega el servidor web

Un endpoint MCP sin autenticación en nginx-ui ≤ 2.3.3 permite que cualquier atacante de red reescriba configuraciones de nginx y reinicie el servicio. CVSS 9.8, divulgación pública el 15 de abril de 2026, explotación en entorno real horas después del parche.

2026-05-29//7 min
INFRASTRUCTURE CRITICAL

BadHost (CVE-2026-48710): un solo carácter en el encabezado Host elude la autenticación en Starlette, vLLM y FastMCP

X41 D-Sec divulgó el 22 de mayo de 2026 un bypass de autorización crítico en Starlette < 1.0.1. Un único / ? o # en el encabezado HTTP Host desincroniza la ruta enrutada respecto a la ruta que ve el middleware, rompiendo la autorización basada en path en vLLM, LiteLLM, FastMCP y miles de agentes de IA construidos sobre FastAPI.

2026-05-27//8 min
INFRASTRUCTURE CRITICAL

LiteLLM CVE-2026-42208: una inyección SQL pre-autenticación en la pasarela de IA

Divulgada el 20 de abril de 2026 y explotada 36 horas después de la publicación del aviso global, CVE-2026-42208 convierte la cabecera Authorization de LiteLLM en una lectura directa sobre cada credencial de proveedor que la pasarela intermedia.

2026-05-25//6 min
INFRASTRUCTURE CRITICAL

LMDeploy SSRF: cuando un cargador de imágenes secuestra la infraestructura de IA

CVE-2026-33626 convirtió load_image() de LMDeploy en una primitiva SSRF genérica. El primer exploit en producción se observó 12 horas y 31 minutos tras la publicación del aviso.

2026-05-22//7 min