Plataforma
javascript
Componente
tarkov-data-manager
Corregido en
2.0.1
Se ha descubierto una vulnerabilidad de bypass de autenticación en Tarkov Data Manager, una herramienta para gestionar datos de elementos de Tarkov. Esta falla permite a usuarios no autenticados obtener acceso administrativo completo al panel de administración de la herramienta. La vulnerabilidad afecta a las versiones 2.0.0 y anteriores, y fue corregida en la versión 2.0.1 el 2 de enero de 2025.
La vulnerabilidad de bypass de autenticación en Tarkov Data Manager representa un riesgo significativo. Un atacante puede explotar esta falla para acceder al panel de administración sin necesidad de credenciales válidas. Esto les permitiría modificar la configuración de la herramienta, acceder a datos sensibles, e incluso comprometer la integridad de los datos gestionados por Tarkov Data Manager. El acceso administrativo completo otorga al atacante un control total sobre el sistema, lo que podría resultar en la pérdida de datos, la interrupción del servicio, o el uso malicioso de la herramienta.
Esta vulnerabilidad fue publicada el 7 de enero de 2026. Se basa en una vulnerabilidad de acceso a propiedades de prototipo de JavaScript combinada con una coerción de tipo de igualdad laxa. No se ha confirmado la explotación activa en el mundo real, pero la severidad crítica (CVSS 9.8) indica un alto riesgo potencial. No se ha añadido a KEV en este momento.
Administrators and users of the Tarkov Data Manager are at risk. Specifically, deployments using older versions (2.0.0) are vulnerable. Shared hosting environments where multiple users share the same instance of the Tarkov Data Manager are particularly susceptible due to the ease of exploitation.
• javascript / web:
// Check for prototype pollution attempts in login requests
// Look for properties like '__proto__' or 'constructor' in POST data• generic web:
curl -I <tarkov_data_manager_login_endpoint> | grep -i 'WWW-Authenticate'
# Expect no authentication headers if unauthenticated access is blockedpatch
disclosure
Estado del Exploit
EPSS
0.66% (71% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar a la versión 2.0.1 de Tarkov Data Manager, que incluye la corrección. Si la actualización no es inmediatamente posible, se recomienda revisar cuidadosamente los permisos de acceso al panel de administración y restringir el acceso solo a usuarios autorizados. Implementar una capa de seguridad adicional, como un firewall de aplicaciones web (WAF), puede ayudar a detectar y bloquear intentos de explotación. Monitorear los registros de acceso al panel de administración en busca de actividad sospechosa también es crucial.
Actualice Tarkov Data Manager a una versión posterior al 2 de enero de 2025. Esto solucionará la vulnerabilidad de omisión de autenticación. Consulte el anuncio de seguridad en GitHub para obtener más detalles.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-21854 is a critical vulnerability in Tarkov Data Manager versions 2.0.0-2.0.0 that allows unauthenticated users to gain full admin access via a JavaScript prototype property access flaw.
Yes, if you are using Tarkov Data Manager version 2.0.0, you are affected by this vulnerability and should upgrade immediately.
Upgrade to version 2.0.1 or later to resolve this vulnerability. As a temporary workaround, implement strict input validation on the login endpoint.
While no widespread exploitation has been publicly confirmed, the vulnerability's ease of exploitation suggests a high probability of active exploitation.
Refer to the official Tarkov Data Manager documentation and release notes for details on this vulnerability and the fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.