Plataforma
go
Componente
github.com/flipped-aurora/gin-vue-admin
Corregido en
2.8.8
2.8.8
CVE-2026-22786 describe una vulnerabilidad de Path Traversal en el framework Gin-vue-admin, específicamente en el componente github.com/flipped-aurora/gin-vue-admin. Esta falla permite la subida arbitraria de archivos, lo que podría resultar en la ejecución remota de código o la exposición de información sensible. La vulnerabilidad afecta a versiones anteriores a 2.8.8 y ha sido publicada el 23 de enero de 2026. Se recomienda actualizar a la versión 2.8.8 para mitigar el riesgo.
La vulnerabilidad de Path Traversal en Gin-vue-admin permite a un atacante subir archivos arbitrarios al servidor. Esto puede ser explotado para subir archivos maliciosos, como webshells, que permiten la ejecución remota de código. Un atacante también podría subir archivos que sobrescriban archivos de configuración críticos, alterando el comportamiento de la aplicación. La exposición de archivos sensibles, como contraseñas o claves de API, también es un riesgo significativo. El impacto potencial es alto, ya que un atacante podría obtener control total sobre el servidor y los datos almacenados.
Actualmente, no se dispone de información sobre campañas de explotación activas para CVE-2026-22786. La vulnerabilidad ha sido publicada recientemente y se espera que se desarrollen pruebas de concepto públicas en el futuro cercano. La severidad CVSS de 7.5 (HIGH) indica una probabilidad moderada de explotación. Se recomienda monitorear los foros de seguridad y las fuentes de inteligencia de amenazas para detectar cualquier actividad sospechosa.
Organizations using Gin-vue-admin in production environments, particularly those with sensitive data or critical applications, are at risk. Environments with weak file upload validation or inadequate access controls are especially vulnerable. Shared hosting environments where multiple users have upload capabilities also face increased risk.
• go / server:
find /var/log/gin-vue-admin -type f -name '*.log' -print0 | xargs -0 grep -i 'file upload'• generic web:
curl -I <target_url>/upload | grep 'Content-Type'disclosure
Estado del Exploit
EPSS
0.59% (69% percentil)
CISA SSVC
La mitigación principal para CVE-2026-22786 es actualizar Gin-vue-admin a la versión 2.8.8 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización no es inmediatamente posible, se recomienda implementar controles de validación de archivos más estrictos en el lado del servidor. Esto incluye verificar la extensión del archivo, el tipo MIME y el tamaño del archivo. Además, se debe implementar una lista blanca de tipos de archivos permitidos y deshabilitar la ejecución de scripts en los archivos subidos. Considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes maliciosas que intenten explotar la vulnerabilidad. Después de la actualización, confirme que la funcionalidad de carga de archivos funciona correctamente y que no se pueden subir archivos no autorizados.
Actualice Gin-vue-admin a una versión posterior a la 2.8.7 que contenga la corrección para la vulnerabilidad de path traversal. Consulte el advisory de seguridad en GitHub para obtener más detalles y la versión corregida.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-22786 is a Path Traversal vulnerability in Gin-vue-admin versions before 2.8.8, allowing attackers to upload arbitrary files.
You are affected if you are using Gin-vue-admin versions prior to 2.8.8. Upgrade immediately to mitigate the risk.
Upgrade to version 2.8.8 or later. As a temporary workaround, restrict upload paths and validate filenames.
Currently, there are no confirmed reports of active exploitation, but the vulnerability is likely to become a target.
Refer to the official Gin-vue-admin project repository and release notes for the latest security advisories.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.