Facebook Instagram Linkedin X-twitter
C/Zaplana, 11 - Entlo. Yecla, Murcia (30510)

Vulnerabilidades y Avisos de Seguridad: Múltiples vulnerabilidades en DeepSeek-TUI de Hmbown

In Noticias y Avisos CiberseguridadPosted

Múltiples vulnerabilidades en DeepSeek-TUI de Hmbown

Aviso
Recursos Afectados
  • DeepSeek-TUI (Rust): versiones anteriores a 0.8.26. (CVE-2026-45374)
  • DeepSeek-TUI (Rust): desde la versión 0.3.0 hasta la 0.8.22. (CVE-2026-45311)
  • DeepSeek-TUI (npm): desde la versión 0.3.0 hasta la 0.8.22. (CVE-2026-45311)
  • DeepSeek-TUI-CLI (Rust): desde la versión 0.3.0 hasta la 0.8.22. (CVE-2026-45311)
Descripción

47Cid ha reportado múltiples vulnerabilidades de severidad crítica que, en caso de ser explotadas, podrían permitir a un atacante la ejecución remota de código.

Identificador
INCIBE-2026-354

Solución

El fabricante recomienda actualizar a las siguientes versiones:

  • DeepSeek-TUI (Rust) a 0.8.26. (CVE-2026-45374)
  • DeepSeek-TUI (Rust) a 0.8.23. (CVE-2026-45311)
  • DeepSeek-TUI (npm) a 0.8.23. (CVE-2026-45311)
  • DeepSeek-TUI-CLI (Rust) a 0.8.23. (CVE-2026-45311)
Detalle
  • CVE-2026-45374: ejecución remota de código debido a valores por defecto inseguros en la función task_create de DeepSeek-TUI. Los sub-agentes duraderos creados heredan allow_shell=true y auto_approve=true, lo que permite que, al aprobar una tarea aparentemente inocua, el sub-agente ejecute comandos arbitrarios incluidos en archivos de proyecto sin aprobación adicional del usuario.
  • CVE-2026-45311: ejecución remota de código en la función run_test que ejecuta cargo test con ApprovalRequirement::Auto, lo que significa que las pruebas se ejecutan sin ningún aviso al usuario. Un repositorio malicioso puede contener pruebas que ejecuten comandos arbitrarios, exfiltren credenciales o establezcan persistencia en el sistema. Esta vulnerabilidad se ve amplificada por AGENTS.md, que se carga automáticamente en el prompt del sistema y puede instruir al modelo para ejecutar las pruebas al inicio de la sesión.
5 – Crítica
Listado de referencias
DeepSeek TUI: task_create Insecure Defaults Enable RCE via Prompt Injection in Project Files
DeepSeek TUI: run_tests Tool Enables RCE via Malicious Repository Without Approval

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-45374 Crítica No Hmbown
CVE-2026-45311 Crítica No Hmbown

Fuente: link

Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.

TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.

Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.