CVE-2026-46419: Impersonation in Yubico webauthn-server-core
Plataforma
java
Componente
yubico/java-webauthn-server
Corregido en
2.8.2
La vulnerabilidad CVE-2026-46419 afecta a Yubico webauthn-server-core (java-webauthn-server) en versiones 2.8.0 hasta 2.8.2. Esta falla permite a un atacante realizar una suplantación de identidad, comprometiendo la autenticación de usuarios. La vulnerabilidad se debe a una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor. La versión 2.8.2 corrige esta vulnerabilidad.
Detecta esta CVE en tu proyecto
Sube tu archivo pom.xml y te decimos al instante si estás afectado.
Impacto y Escenarios de Ataque
Un atacante que explote esta vulnerabilidad puede suplantar la identidad de un usuario autenticado. Esto significa que el atacante podría acceder a los recursos y realizar acciones en nombre del usuario comprometido, sin necesidad de conocer sus credenciales. El impacto potencial es significativo, ya que podría resultar en la exposición de información confidencial, la modificación de datos sensibles o incluso el control total de la cuenta del usuario. La suplantación de identidad podría ser utilizada para realizar ataques dirigidos a empleados con altos privilegios, ampliando el radio de explosión del ataque.
Contexto de Explotación
La vulnerabilidad CVE-2026-46419 fue publicada el 14 de mayo de 2026. La probabilidad de explotación se considera media debido a la naturaleza de la vulnerabilidad de suplantación de identidad y la posibilidad de que sea explotada en ataques dirigidos. No se han reportado campañas de explotación activas conocidas públicamente al momento de la publicación. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Inteligencia de Amenazas
Estado del Exploit
Vector CVSS
¿Qué significan estas métricas?
- Attack Vector
- Red — explotable remotamente por internet. Sin acceso físico ni local. Mayor superficie de ataque.
- Attack Complexity
- Alta — requiere condición de carrera, configuración no predeterminada o circunstancias específicas. Más difícil de explotar.
- Privileges Required
- Bajo — cualquier cuenta de usuario válida es suficiente.
- User Interaction
- Ninguna — el ataque es automático y silencioso. La víctima no hace nada.
- Scope
- Sin cambio — el impacto se limita al componente vulnerable.
- Confidentiality
- Alto — pérdida total de confidencialidad. El atacante puede leer todos los datos.
- Integrity
- Alto — el atacante puede escribir, modificar o eliminar cualquier dato.
- Availability
- Alto — caída completa o agotamiento de recursos. Denegación de servicio total.
Software Afectado
Clasificación de Debilidad (CWE)
Cronología
- Reservado
- Publicada
Mitigación y Workarounds
La mitigación principal para CVE-2026-46419 es actualizar a la versión 2.8.2 de Yubico webauthn-server-core. Si la actualización no es inmediatamente posible, considere implementar medidas de seguridad adicionales, como la monitorización exhaustiva de los registros de autenticación en busca de actividades sospechosas. Implementar reglas en un Web Application Firewall (WAF) para detectar patrones de tráfico inusuales relacionados con la autenticación webauthn podría ayudar a identificar intentos de explotación. Verifique que la configuración de webauthn-server-core sea la más restrictiva posible, limitando los permisos y el acceso a los recursos.
Cómo corregirlotraduciendo…
Actualice a la versión 2.8.2 o superior para corregir la vulnerabilidad de impersonación. Esta actualización corrige una verificación incorrecta del valor de retorno de una función en el flujo de segundo factor, mitigando el riesgo de ataques de suplantación de identidad.
Preguntas frecuentes
What is CVE-2026-46419 — Impersonation in Yubico webauthn-server-core?
CVE-2026-46419 es una vulnerabilidad de suplantación de identidad en Yubico webauthn-server-core que permite a un atacante acceder a cuentas de usuario sin sus credenciales. Tiene una severidad ALTA (CVSS 7.5).
Am I affected by CVE-2026-46419 in Yubico webauthn-server-core?
Si está utilizando Yubico webauthn-server-core en versiones 2.8.0 hasta 2.8.2, es vulnerable a esta vulnerabilidad. Verifique su versión actual y actualice si es necesario.
How do I fix CVE-2026-46419 in Yubico webauthn-server-core?
La solución es actualizar a la versión 2.8.2 de Yubico webauthn-server-core. Si la actualización no es posible de inmediato, implemente medidas de mitigación adicionales como la monitorización de logs.
Is CVE-2026-46419 being actively exploited?
No se han reportado campañas de explotación activas conocidas públicamente al momento de la publicación, pero se recomienda monitorear las fuentes de inteligencia de amenazas.
Where can I find the official Yubico advisory for CVE-2026-46419?
Consulte el sitio web de Yubico o su canal de seguridad para obtener la información oficial sobre esta vulnerabilidad y las actualizaciones disponibles.
¿Tu proyecto está afectado?
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Detecta esta CVE en tu proyecto
Sube tu archivo pom.xml y te decimos al instante si estás afectado.
Escanea tu proyecto Java / Maven ahora — sin cuenta
Sube tu pom.xml y recibís el reporte de vulnerabilidades al instante. Sin cuenta. Subir el archivo es solo el inicio: con una cuenta tenés monitoreo continuo, alertas en Slack/email, multi-proyecto y reportes white-label.
Arrastra y suelta tu archivo de dependencias
composer.lock, package-lock.json, requirements.txt, Gemfile.lock, pubspec.lock, Dockerfile...