Plataforma
nodejs
Componente
rwsdk
Corregido en
1.0.1
1.0.6
La vulnerabilidad CVE-2026-39371 es una falla de Cross-Site Request Forgery (CSRF) descubierta en la librería rwsdk utilizada en aplicaciones Next.js. Esta falla permite a un atacante invocar funciones del servidor exportadas desde archivos "use server" a través de solicitudes GET, eludiendo la restricción de método HTTP original. Afecta a todas las versiones de rwsdk anteriores a 1.0.6 y se recomienda actualizar para mitigar el riesgo.
Un atacante puede explotar esta vulnerabilidad construyendo una URL maliciosa que contenga un ID de acción conocido y argumentos codificados en formato JSON. Cuando un usuario autenticado visita o hace clic en esta URL, la función del servidor asociada se ejecuta con los permisos del usuario, sin necesidad de interacción adicional. Esto podría resultar en modificaciones no autorizadas de datos, cambios en la configuración de la aplicación o incluso la ejecución de acciones sensibles en nombre del usuario. La gravedad de este impacto se amplifica en aplicaciones que manejan información confidencial o realizan transacciones críticas, ya que un atacante podría comprometer la integridad y confidencialidad de los datos.
Esta vulnerabilidad fue publicada el 8 de abril de 2026. No se ha reportado su inclusión en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA al momento de la redacción. No se han identificado públicamente pruebas de concepto (PoC) activas, pero la naturaleza de la vulnerabilidad CSRF la hace susceptible a explotación en el futuro. Se recomienda monitorear las fuentes de inteligencia de amenazas para detectar cualquier actividad maliciosa relacionada con esta vulnerabilidad.
Estado del Exploit
EPSS
0.01% (0% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-39371 es actualizar la librería rwsdk a la versión 1.0.6 o superior, que incluye la corrección de esta vulnerabilidad. Si la actualización causa problemas de compatibilidad, considere implementar una solución temporal utilizando un proxy inverso o un Web Application Firewall (WAF) para bloquear solicitudes GET a las funciones del servidor. Configure el WAF para inspeccionar las cabeceras de las solicitudes y rechazar aquellas que intenten invocar funciones del servidor a través de métodos GET. Verifique que la actualización se haya realizado correctamente ejecutando pruebas funcionales para asegurar que las funciones del servidor se ejecuten solo a través de los métodos HTTP esperados.
Actualice RedwoodSDK a la versión 1.0.6 o superior para mitigar la vulnerabilidad de CSRF. Esta actualización corrige el problema al garantizar que las funciones del servidor solo puedan ser invocadas a través del método HTTP especificado.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39371 is a Cross-Site Request Forgery (CSRF) vulnerability in the Next.js rwsdk component. It allows attackers to trigger server functions via GET requests, potentially leading to unauthorized actions.
You are affected if you are using Next.js rwsdk versions prior to 1.0.6 and your application relies on cookie-based authentication.
Upgrade to Next.js rwsdk version 1.0.6 or later. Implement stricter input validation and CSRF protection mechanisms as a temporary workaround.
While no active exploitation has been publicly reported, the vulnerability's nature suggests it could be easily exploited once a proof-of-concept is released. Monitor security advisories.
Refer to the Next.js security advisories and release notes on the official Next.js website for the latest information and updates regarding CVE-2026-39371.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.