Plataforma
dotnet
Componente
nuget
Corregido en
0.0.1
Se ha identificado una vulnerabilidad de ejecución remota de código (RCE) en NuGet Gallery, el repositorio de paquetes que alimenta nuget.org. Esta vulnerabilidad reside en el manejo de archivos .nuspec dentro de los paquetes NuGet, permitiendo a un atacante inyectar metadatos maliciosos. La explotación exitosa puede resultar en la ejecución de código arbitrario y la escritura de blobs en ubicaciones no autorizadas, afectando a versiones anteriores a 0e80f87628349207cdcaf55358491f8a6f1ca276. Se ha publicado una corrección en la versión 0e80f87628349207cdcaf55358491f8a6f1ca276.
La vulnerabilidad CVE-2026-39399 permite a un atacante inyectar metadatos maliciosos en archivos .nuspec dentro de los paquetes NuGet. Esta inyección se logra a través de la manipulación de identificadores de paquetes, explotando la falta de validación adecuada de la entrada. El resultado es la capacidad de escribir blobs arbitrarios en el sistema, lo que puede llevar a la ejecución de código arbitrario en el servidor de NuGet Gallery. Un atacante podría, por ejemplo, modificar archivos de configuración críticos o instalar malware. La severidad crítica de esta vulnerabilidad se debe a la facilidad de explotación y el potencial de impacto en la integridad y confidencialidad de los datos, así como la disponibilidad del sistema.
La vulnerabilidad CVE-2026-39399 fue publicada el 14 de abril de 2026. No se ha añadido a la lista KEV de CISA al momento de la redacción. No se han reportado públicamente exploits activos, pero la disponibilidad de la vulnerabilidad y su potencial de RCE la convierten en un objetivo atractivo para los atacantes. La naturaleza de la inyección de metadatos y la manipulación de identificadores de paquetes se asemeja a patrones de explotación observados en otras vulnerabilidades de software de gestión de paquetes.
Developers and organizations that rely on NuGet packages from nuget.org are at risk. Specifically, those using automated build processes that automatically pull packages from nuget.org without thorough vetting are particularly vulnerable. Shared hosting environments where multiple developers share a NuGet package repository also face increased risk.
• dotnet / server: Monitor NuGet Gallery server logs for unusual blob write activity, particularly those involving URI fragment injection in package identifiers. Use PowerShell to check for suspicious .nuspec files in the package repository.
Get-ChildItem -Path "C:\path\to\nuget\packages\*\*.nuspec" | Select-String -Pattern "malicious_pattern"• generic web: Monitor access logs for requests containing unusual URI fragments in package identifiers. Check response headers for unexpected content-types or error messages related to blob writes. • database (generic): If NuGet Gallery uses a database to store package metadata, query the database for suspicious entries related to package identifiers and blob paths.
disclosure
Estado del Exploit
EPSS
0.30% (53% percentil)
CISA SSVC
Vector CVSS
La mitigación principal para CVE-2026-39399 es actualizar NuGet Gallery a la versión 0e80f87628349207cdcaf55358491f8a6f1ca276 o superior. Si la actualización inmediata no es posible, se recomienda revisar y endurecer los controles de acceso a los archivos .nuspec. Implementar una validación estricta de la entrada en el backend del job de NuGet Gallery es crucial. Aunque no es una solución completa, se puede considerar el uso de un Web Application Firewall (WAF) para bloquear solicitudes sospechosas que intenten inyectar metadatos maliciosos. Después de la actualización, verifique la integridad del sistema ejecutando un escaneo de vulnerabilidades y revisando los registros del sistema en busca de actividad inusual.
Actualice NuGet Gallery a la versión 0e80f87628349207cdcaf55358491f8a6f1ca276 o superior para mitigar la vulnerabilidad. Esta actualización aborda la validación de entrada insuficiente en el manejo de archivos .nuspec, previniendo la inyección de metadatos entre paquetes y la posible ejecución remota de código o escritura arbitraria de blobs.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-39399 is a critical remote code execution vulnerability in NuGet Gallery, allowing attackers to inject malicious metadata into NuGet packages.
You are affected if you are using NuGet Gallery and have not upgraded to version 0e80f87628349207cdcaf55358491f8a6f1ca276 or later.
Upgrade NuGet Gallery to version 0e80f87628349207cdcaf55358491f8a6f1ca276 or later. Implement stricter input validation as a temporary workaround.
While active exploitation is not yet confirmed, the high CVSS score and ease of exploitation suggest a high probability of exploitation.
Refer to the official NuGet Gallery security advisories for the most up-to-date information and guidance.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.