Plataforma
python
Componente
dynaconf
Corregido en
3.2.14
3.2.13
Se ha identificado una vulnerabilidad de Inyección de Plantillas del Lado del Servidor (SSTI) en dynaconf, una biblioteca de configuración para Python. Esta vulnerabilidad permite la ejecución remota de código (RCE) si un atacante puede influir en las fuentes de configuración, como variables de entorno o archivos .env. La vulnerabilidad afecta a versiones de dynaconf menores o iguales a 3.2.9 y se ha solucionado en la versión 3.2.13.
La vulnerabilidad de SSTI en dynaconf permite a un atacante inyectar código malicioso en las plantillas de configuración. Si un atacante puede controlar las fuentes de configuración, como variables de entorno, archivos .env o secretos de CI/CD, puede ejecutar comandos arbitrarios en el sistema operativo subyacente. Esto podría resultar en la toma de control completa del servidor, el robo de datos confidenciales o la interrupción del servicio. La capacidad de recorrer el objeto de ejecución también podría exponer información sensible del entorno de tiempo de ejecución.
Esta vulnerabilidad ha sido publicada el 18 de marzo de 2026. No se ha confirmado la explotación activa en entornos reales, pero la naturaleza de la vulnerabilidad (RCE) y la facilidad de explotación la convierten en un objetivo atractivo para los atacantes. Se recomienda monitorear la situación y aplicar las mitigaciones necesarias lo antes posible. No se ha añadido a KEV a la fecha.
Applications and systems that rely on Dynaconf for configuration management, particularly those deployed in environments where configuration sources (environment variables, .env files, CI/CD pipelines) are not adequately secured, are at significant risk. Shared hosting environments and applications using containerized deployments are also particularly vulnerable due to the ease with which configuration values can be manipulated.
• python / server:
import subprocess
import os
# Check Dynaconf version
result = subprocess.run(['pip', 'show', 'dynaconf'], capture_output=True, text=True)
output = result.stdout
if 'Version:' in output:
version = output.split('Version:')[1].strip().split('\n')[0]
if version <= '3.2.9':
print(f'Dynaconf version is vulnerable: {version}')
else:
print('Dynaconf is not installed or version cannot be determined.')• linux / server:
# Check Dynaconf version using pip
python3 -c "import dynaconf; print(dynaconf.__version__)"
# Check for suspicious processes
ps aux | grep -i jinja• generic web: Inspect application logs for any errors or warnings related to Jinja2 template evaluation or unexpected command execution.
disclosure
Estado del Exploit
EPSS
0.05% (16% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar a la versión 3.2.13 de dynaconf o superior, que corrige la vulnerabilidad de SSTI. Si la actualización no es posible de inmediato, se recomienda restringir el acceso a las fuentes de configuración para evitar que los atacantes las manipulen. Además, se debe revisar y endurecer la configuración de las plantillas para evitar la inyección de código. Implementar un WAF (Web Application Firewall) con reglas para detectar y bloquear intentos de inyección de plantillas también puede ayudar a mitigar el riesgo. Monitorear los registros del sistema en busca de patrones sospechosos de ejecución de comandos puede ayudar a detectar ataques en curso.
Actualice la biblioteca dynaconf a la versión 3.2.13 o superior. Esto corrige la vulnerabilidad de ejecución remota de código (RCE) causada por la evaluación insegura de plantillas Jinja2. La actualización asegura que las expresiones de plantilla se evalúen en un entorno seguro.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-33154 is a Remote Code Execution vulnerability in Dynaconf versions 3.2.9 and earlier, allowing attackers to execute OS commands through unsafe template evaluation.
You are affected if you are using Dynaconf versions 3.2.9 or earlier and have the jinja2 package installed. Check your version using pip show dynaconf.
Upgrade Dynaconf to version 3.2.13 or later. If immediate upgrade is not possible, restrict access to configuration sources and disable the @jinja resolver if not essential.
There is currently no public information indicating active exploitation of CVE-2026-33154, but the potential for exploitation remains significant.
Refer to the Dynaconf project's official security advisories and release notes for details on this vulnerability and the corresponding fix.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.