Plataforma
nodejs
Componente
polarnl/polarnl
Corregido en
0.0.1
El CVE-2026-39322 afecta a PolarLearn, un programa de aprendizaje de código abierto, en versiones desde 0.0.0 hasta v0-PRERELEASE-15. Esta vulnerabilidad permite a un atacante crear una sesión válida para cuentas baneadas sin verificar la contraseña, lo que resulta en el acceso a datos y acciones autenticadas como ese usuario. La vulnerabilidad fue publicada el 7 de abril de 2026 y se ha solucionado en la versión 0.0.2.
Un atacante puede explotar esta vulnerabilidad para eludir las restricciones de acceso implementadas en PolarLearn. Al crear una sesión válida para una cuenta baneada, el atacante puede acceder a datos sensibles y realizar acciones autenticadas como ese usuario, incluso si la cuenta ha sido prohibida. Esto podría incluir la modificación de datos del usuario, el acceso a información confidencial o la realización de acciones administrativas, dependiendo de los permisos asociados a la cuenta baneada. La falta de verificación de la contraseña antes de crear la sesión es la causa principal de esta vulnerabilidad, permitiendo a un atacante saltarse el proceso de autenticación normal.
El CVE-2026-39322 fue publicado el 7 de abril de 2026. Actualmente no se dispone de información sobre explotación activa o la existencia de pruebas de concepto públicas. La vulnerabilidad se encuentra en un componente de NodeJS, lo que podría afectar a entornos de desarrollo y producción que utilicen esta tecnología. La severidad del CVSS está pendiente de evaluación.
Organizations and individuals using PolarLearn versions 0.0.0 through v0-PRERELEASE-15 are at risk. This includes educational institutions, training providers, and anyone utilizing PolarLearn for online learning programs. Shared hosting environments running PolarLearn are particularly vulnerable, as a compromise of one account could potentially lead to broader access.
• nodejs / server:
# Check for PolarLearn processes
ps aux | grep PolarLearn
# Monitor API logs for suspicious login attempts from banned accounts (check for 'banned' status in user records)
grep 'banned' /var/log/polarlearn/api.log• generic web:
# Check for exposed /api/v1/auth/sign-in endpoint
curl -I https://your-polarlearn-instance/api/v1/auth/sign-indisclosure
Estado del Exploit
EPSS
0.05% (14% percentil)
La mitigación principal para el CVE-2026-39322 es actualizar PolarLearn a la versión 0.0.2 o posterior, donde se ha solucionado la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar y fortalecer las políticas de gestión de cuentas baneadas para asegurar que las cuentas prohibidas no puedan ser explotadas. Además, se recomienda implementar un monitoreo más estricto de las sesiones de usuario para detectar actividades sospechosas. Después de la actualización, confirme que la creación de sesiones para cuentas baneadas está correctamente bloqueada mediante pruebas de penetración.
Actualice PolarLearn a la versión 0.0.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige el problema al verificar la contraseña antes de crear una sesión para cuentas prohibidas, previniendo el acceso no autorizado a los datos de la cuenta.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39322 es una vulnerabilidad de bypass de autenticación en PolarLearn que permite el acceso a datos y acciones autenticadas como usuario baneado, afectando versiones 0.0.0–<= v0-PRERELEASE-15.
Si está utilizando PolarLearn en versiones 0.0.0 hasta v0-PRERELEASE-15, es vulnerable a esta vulnerabilidad. Actualice a la versión 0.0.2 para mitigar el riesgo.
La solución es actualizar PolarLearn a la versión 0.0.2 o posterior. Si la actualización no es posible de inmediato, revise y fortalezca las políticas de gestión de cuentas baneadas.
Actualmente no se dispone de información sobre explotación activa de CVE-2026-39322.
Consulte la documentación oficial de PolarLearn o su canal de comunicación de seguridad para obtener información sobre esta vulnerabilidad.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.