Plataforma
nodejs
Componente
locutus
Corregido en
3.0.15
3.0.14
La vulnerabilidad CVE-2026-32304 es una falla de Ejecución Remota de Código (RCE) presente en la biblioteca locutus para Node.js. Esta falla se debe a la falta de validación en los parámetros de la función create_function, lo que permite a un atacante inyectar y ejecutar código arbitrario. Afecta a versiones de locutus anteriores a la 3.0.14 y requiere una actualización inmediata para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad para ejecutar código malicioso en el servidor donde se ejecuta la aplicación Node.js que utiliza locutus. Esto podría resultar en la toma de control completa del servidor, robo de datos sensibles, modificación de archivos o el uso del servidor como punto de partida para ataques a otros sistemas. La falta de validación en la función create_function facilita la inyección de código, similar a vulnerabilidades de inyección de código en otros lenguajes de programación. El impacto potencial es significativo, especialmente en entornos de producción donde locutus se utiliza para funcionalidades críticas.
Esta vulnerabilidad se publicó el 13 de marzo de 2026. Existe un Proof of Concept (PoC) público disponible, lo que aumenta la probabilidad de explotación. La severidad CVSS de 9.8 (CRITICAL) indica un alto riesgo. No se ha confirmado explotación activa a la fecha, pero la disponibilidad del PoC y la alta severidad sugieren que es probable que se explore activamente. No se ha añadido a KEV a la fecha.
Applications and systems utilizing the Locutus PHP library, particularly those that dynamically generate code using createfunction without proper input validation, are at significant risk. This includes Node.js applications that incorporate Locutus and expose endpoints where user-supplied data could influence the code executed by createfunction. Shared hosting environments that bundle Locutus are also vulnerable if they haven't been updated.
• nodejs:
ps aux | grep 'create_function' && cat /var/log/nodejs/error.log | grep 'create_function'• generic web:
curl -I <affected_url> | grep 'create_function'• generic web:
grep -r 'create_function' /var/log/apache2/access.logdisclosure
poc
patch
Estado del Exploit
EPSS
0.10% (28% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-32304 es actualizar la biblioteca locutus a la versión 3.0.14 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización no es posible de inmediato, se recomienda implementar medidas de seguridad adicionales, como restringir el acceso a la función createfunction a usuarios autorizados y monitorear el tráfico de red en busca de patrones sospechosos. Si la actualización causa problemas de compatibilidad, considere una reversión temporal a una versión anterior estable, mientras se evalúa la actualización. Implementar reglas en un Web Application Firewall (WAF) para bloquear solicitudes que contengan código malicioso en los parámetros de createfunction puede proporcionar una capa adicional de protección.
Actualice la biblioteca Locutus a la versión 3.0.14 o superior. Esta versión corrige la vulnerabilidad de ejecución remota de código al sanitizar la entrada en la función create_function(). La actualización evitará la ejecución de código arbitrario a través de entradas no seguras.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32304 is a critical RCE vulnerability in the Locutus PHP library where the create_function function lacks input sanitization, allowing attackers to execute arbitrary code.
You are affected if you are using Locutus PHP library versions prior to 3.0.14 and have not applied the security patch.
Upgrade to Locutus version 3.0.14 or later to resolve this vulnerability. If immediate upgrade is not possible, consider temporary workarounds like restricting access to the create_function function.
While active exploitation is not confirmed, a public proof-of-concept exists, increasing the risk of exploitation.
Refer to the Locutus project's official advisory channels for the latest information and updates regarding CVE-2026-32304.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.