Plataforma
other
Componente
calibre
Corregido en
9.2.1
La vulnerabilidad CVE-2026-25636 es un fallo de recorrido de ruta (Path Traversal) descubierto en calibre, un gestor de libros electrónicos. Un archivo EPUB malicioso puede aprovechar esta vulnerabilidad para corromper archivos existentes accesibles por el proceso de calibre durante la conversión. Esta vulnerabilidad afecta a versiones de calibre anteriores o iguales a 9.2.0 y ha sido solucionada en la versión 9.2.0.
Un atacante puede explotar esta vulnerabilidad creando un archivo EPUB malicioso que contenga referencias a rutas de archivo incorrectas. Durante el proceso de conversión de EPUB, calibre intenta abrir estos archivos en modo lectura-escritura, incluso si apuntan fuera del directorio de extracción. Esto permite al atacante sobrescribir o eliminar archivos arbitrarios en el sistema, comprometiendo la integridad de los datos y potencialmente permitiendo la ejecución de código malicioso si los archivos sobrescritos son críticos para el funcionamiento del sistema. La severidad de este impacto depende de los permisos del usuario que ejecuta calibre y de la ubicación de los archivos vulnerables.
La vulnerabilidad fue publicada el 6 de febrero de 2026. No se ha reportado explotación activa en campañas conocidas. El CVSS score de 8.2 (ALTO) indica una probabilidad de explotación moderada a alta. No se ha añadido a la lista KEV de CISA al momento de esta redacción.
Users who manage e-books with Calibre, particularly those who download e-books from untrusted sources or use Calibre on shared systems, are at risk. Individuals using older versions of Calibre (≤ 9.2.0) are especially vulnerable. Users who rely on Calibre for managing sensitive documents should prioritize upgrading.
• windows / supply-chain: Monitor Calibre's process for unusual file access patterns using Process Monitor. Check registry keys related to Calibre for unexpected modifications.
Get-Process calibre | Select-Object Path• linux / server: Monitor Calibre's process for file access using lsof. Examine system logs for errors related to file access during EPUB conversion.
lsof -p $(pidof calibre)• generic web: Examine Calibre's access logs for requests containing suspicious file paths or URI schemes in the CipherReference URI. • database (mysql, redis, mongodb, postgresql): N/A - this vulnerability does not directly impact databases. • wordpress / composer / npm: N/A - this vulnerability does not directly impact these components.
disclosure
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-25636 es actualizar calibre a la versión 9.2.0 o superior, donde la vulnerabilidad ha sido corregida. Si la actualización a la última versión no es inmediatamente posible, se recomienda evitar la conversión de archivos EPUB de fuentes no confiables. Como medida temporal, se podría restringir los permisos del usuario que ejecuta calibre para limitar el daño potencial en caso de explotación. No existen reglas WAF o firmas Sigma/YARA específicas para esta vulnerabilidad, ya que se basa en la manipulación de archivos durante el proceso de conversión.
Actualice Calibre a la versión 9.2.0 o posterior. Esta actualización corrige la vulnerabilidad de path traversal que permite la corrupción de archivos arbitrarios y la ejecución de código. Descargue la versión más reciente desde el sitio web oficial de Calibre.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-25636 is a Path Traversal vulnerability in Calibre e-book manager, allowing malicious EPUB files to corrupt files. It affects versions up to 9.2.0.
Yes, if you are using Calibre version 9.2.0 or earlier, you are affected by this vulnerability.
Upgrade Calibre to version 9.2.0 or later to resolve this vulnerability. Consider restricting file types from untrusted sources as an interim measure.
There are no confirmed reports of active exploitation at this time, but the vulnerability's nature suggests a potential for exploitation.
Refer to the Calibre project's official website and security advisories for the latest information: https://calibre-ebook.com/
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.