Plataforma
python
Componente
memray
Corregido en
1.19.3
1.19.2
La vulnerabilidad CVE-2026-32722 es una falla de Cross-Site Scripting (XSS) presente en Memray hasta la versión 1.9.1. Esta falla permite a un atacante inyectar código JavaScript malicioso en los informes HTML generados por Memray, lo que podría resultar en la ejecución de código arbitrario en el navegador de un usuario. Se recomienda actualizar a la versión 1.19.2 para mitigar este riesgo.
Esta vulnerabilidad XSS permite a un atacante inyectar código JavaScript en los informes HTML generados por Memray. Cuando un usuario abre este informe en un navegador, el código malicioso se ejecuta, lo que podría permitir al atacante robar información sensible, como credenciales de autenticación o datos de sesión. El atacante también podría utilizar esta vulnerabilidad para redirigir al usuario a un sitio web malicioso o para realizar otras acciones maliciosas en nombre del usuario. La severidad de este impacto depende del contexto en el que se utiliza Memray y de la sensibilidad de los datos que se están monitoreando.
La vulnerabilidad CVE-2026-32722 fue publicada el 16 de marzo de 2026. No se ha reportado explotación activa de esta vulnerabilidad en entornos reales, pero la naturaleza de la vulnerabilidad XSS la hace susceptible a ataques. La probabilidad de explotación se considera media, dado que la vulnerabilidad es relativamente fácil de explotar y Memray se utiliza en diversos entornos.
Organizations using Memray to monitor processes, particularly those where the processes being monitored are exposed to untrusted input or external control, are at risk. This includes development teams using Memray for debugging and performance analysis, and security teams using it for incident response.
• python / memray: Inspect Memray generated reports for unusual HTML or JavaScript code. Look for injected <script> tags or event handlers.
• python / memray: Check Memray version using memray --version. If the version is less than 1.19.2, the system is vulnerable.
• generic web: Examine Memray report files (typically HTML) for suspicious code.
• generic web: Monitor web server access logs for requests to Memray report generation endpoints with unusual parameters.
disclosure
Estado del Exploit
EPSS
0.01% (2% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para esta vulnerabilidad es actualizar Memray a la versión 1.19.2 o superior, que corrige la falla de escaping. Si la actualización no es inmediatamente posible, se recomienda evitar adjuntar Memray a procesos no confiables. Como medida adicional, se puede implementar una política de seguridad de contenido (CSP) en el servidor web para restringir la ejecución de scripts desde fuentes no confiables. Monitorear los informes generados por Memray en busca de patrones sospechosos también puede ayudar a detectar posibles ataques.
Actualice la biblioteca Memray a la versión 1.19.2 o superior. Esto solucionará la vulnerabilidad de Cross-Site Scripting (XSS) almacenado al escapar correctamente los metadatos de la línea de comandos en los informes HTML generados.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-32722 is a cross-site scripting vulnerability in Memray versions 1.19.1 and earlier. It allows attackers to inject malicious HTML into generated reports, potentially leading to JavaScript execution.
If you are using Memray version 1.19.1 or earlier, you are affected by this vulnerability. Check your Memray version using memray --version.
Upgrade Memray to version 1.19.2 or later to resolve the vulnerability. Avoid attaching Memray to untrusted processes until the upgrade is complete.
As of the current disclosure date, there are no confirmed reports of active exploitation of CVE-2026-32722.
Refer to the Memray project's official channels (website, GitHub repository) for the latest advisory and updates regarding CVE-2026-32722.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.