Múltiples vulnerabilidades en Graylog
Interfaz web de Graylog en la versión 2.2.3.
INCIBE ha coordinado la publicación de 7 vulnerabilidades: 1 de severidad crítica, 1 de severidad alta y 5 de severidad media, que afectan a Interfaz web de Graylog, SIEM para la gestión de registros, seguridad y operaciones de TI basadas en IA. Las vulnerabilidades han sido descubiertas por Julen Garrido Estévez (B3xal).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2026-1435: CVSS v4.0: 9.1 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N | CWE-613
- CVE-2026-1436: CVSS v4.0: 7.0 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-284
- De CVE-2026-1437 a CVE-2026-1441: 6.1 | CVSS:4.0/ AV:N/AC:L/AT:N/PR:N/UI:R/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N | CWE-79
Se recomienda actualizar el software a la última versión donde las vulnerabilidades descritas ya están parcheadas.
Para la versión afectada, las vulnerabilidades no están mitigadas, ya que el fabricante da como obsoletas todas versiones anteriores a la actual.
- CVE-2026-1435: invalidación incorrecta de la sesión en la interfaz web de Graylog, versión 2.2.3, debido a una gestión incorrecta de la validación de la sesión tras nuevos inicios de sesión. La aplicación genera un nuevo ‘sessionId‘ cada vez que un usuario se autentica, pero no invalida los identificadores de sesión emitidos anteriormente, que siguen siendo válidos incluso después de múltiples inicios de sesión consecutivos por parte del mismo usuario. Como resultado, un ‘sessionId‘ robado o filtrado puede seguir utilizándose para autenticar solicitudes válidas. La explotación de esta vulnerabilidad permitiría a un atacante con acceso a la red del servicio web/API (puerto 9000 o punto final HTTP/S del servidor) reutilizar un token de sesión antiguo para obtener acceso no autorizado a la aplicación, interactuar con la API/web y comprometer la integridad de la cuenta afectada.
- CVE-2026-1436: control de acceso inadecuado (IDOR) en la API de Graylog, versión 2.2.3, que se produce al modificar el ID de usuario en la URL. Un usuario autenticado puede acceder a los perfiles de otros usuarios sin las comprobaciones de autorización adecuadas. Aprovechar esta vulnerabilidad permite listar a los usuarios válidos del sistema y acceder a información confidencial de terceros, como nombres, direcciones de correo electrónico, identificadores internos y última actividad. El endpoint ‘http://<IP>:12900/users/<my_user>‘ no implementa validaciones de autorización a nivel de objeto.
- Cross-Site Scripting (XSS) reflejado en la consola de la interfaz web de Graylog, versión 2.2.3, causada por una ausencia de depuración y escape adecuados en la salida HTML. Varios puntos finales incluyen segmentos de la URL directamente en la respuesta sin aplicar la codificación de salida, lo que permite a un atacante inyectar y ejecutar código JavaScript arbitrario cuando un usuario visita una URL especialmente diseñada. La explotación de esta vulnerabilidad puede permitir la ejecución de scripts en el navegador de la víctima y la manipulación limitada del contexto de la sesión del usuario afectado. Los puntos finales afectados se enumeran a continuación:
- CVE-2026-1437: ‘/system/authentication/users/edit/‘;
- CVE-2026-1438: ‘/system/nodes/‘;
- CVE-2026-1439: ‘/alerts/‘;
- CVE-2026-1440: ‘/system/pipelines/‘;
- CVE-2026-1441: ‘/system/index_sets/‘.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-1435 | Crítica | No | Graylog |
| CVE-2026-1436 | Alta | No | Graylog |
| CVE-2026-1437 | Media | No | Graylog |
| CVE-2026-1438 | Media | No | Graylog |
| CVE-2026-1439 | Media | No | Graylog |
| CVE-2026-1440 | Media | No | Graylog |
| CVE-2026-1441 | Media | No | Graylog |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.