Plataforma
python
Componente
magic-wormhole
Corregido en
0.21.1
0.23.0
La vulnerabilidad CVE-2026-32116 afecta a magic-wormhole en versiones 0.22.0 y anteriores. Permite a un atacante, al enviar un archivo a través de wormhole receive, sobrescribir archivos locales críticos, comprometiendo potencialmente el sistema receptor. La solución es actualizar a la versión 0.23.0, donde se ha corregido el problema.
Esta vulnerabilidad presenta un riesgo significativo, ya que permite a un atacante comprometer el sistema receptor mediante la sobrescritura de archivos sensibles. El archivo ~/.ssh/authorized_keys controla el acceso a través de SSH, y su modificación podría permitir al atacante acceder al sistema sin necesidad de credenciales. La sobrescritura de .bashrc podría alterar el entorno de shell del usuario, permitiendo la ejecución de comandos maliciosos al iniciar una nueva sesión. Es crucial destacar que el atacante debe ser el remitente del archivo para explotar esta vulnerabilidad, lo que limita el alcance del ataque a interacciones directas.
La vulnerabilidad fue publicada el 13 de marzo de 2026. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. No existen pruebas públicas de concepto (PoC) disponibles actualmente. La vulnerabilidad se centra en la manipulación de archivos durante la recepción, lo que requiere una interacción directa entre el atacante y el receptor.
Users who rely on magic-wormhole for secure file transfer, particularly those using it to transfer sensitive data or manage SSH keys, are at risk. Systems with legacy configurations or those running older versions of Python where upgrading is difficult are also more vulnerable. Shared hosting environments where multiple users share the same system and SSH keys could experience widespread compromise if exploited.
• python / system:
python3 -c 'import magic_wormhole; print(magic_wormhole.__version__)'• python / system: Check for unusual file modifications in ~/.ssh/authorized_keys and .bashrc using git diff or similar version control tools.
• python / system: Monitor process execution for magic_wormhole with unusual command-line arguments.
• python / system: Review system logs for errors or warnings related to file overwrites during wormhole receive operations.
disclosure
Estado del Exploit
EPSS
0.08% (25% percentil)
CISA SSVC
La mitigación principal es actualizar magic-wormhole a la versión 0.23.0 o superior, que incluye la corrección para esta vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda evitar recibir archivos de fuentes no confiables. Como medida temporal, se podría implementar un sistema de respaldo de archivos críticos, permitiendo la restauración en caso de una sobrescritura accidental. No existen reglas WAF o proxies específicas para esta vulnerabilidad, ya que se basa en la manipulación de archivos durante la recepción. La verificación de la corrección se puede realizar después de la actualización, confirmando que la versión instalada es 0.23.0 o superior mediante python -c "import magicwormhole; print(magicwormhole.version)".
Actualice Magic Wormhole a la versión 0.23.0 o superior. Esto solucionará la vulnerabilidad que permite la sobrescritura de archivos locales arbitrarios por parte de un remitente malicioso. Puede actualizar usando pip: `pip install --upgrade magic-wormhole`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32116 is a high-severity vulnerability in magic-wormhole versions up to 0.22.0 that allows a malicious sender to overwrite critical local files during a file transfer, potentially compromising the receiver's system.
You are affected if you are using magic-wormhole versions 0.22.0 or earlier. Upgrade to 0.23.0 or later to resolve the issue.
Upgrade magic-wormhole to version 0.23.0 or later. This resolves the file overwrite vulnerability.
There is currently no evidence of active exploitation, but the potential for exploitation exists if a proof-of-concept is released.
Refer to the magic-wormhole project's official release notes and security advisories on their GitHub repository for the most up-to-date information.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.