Vulnerabilidades críticas en AliasVault 2026
Vulnerabilidad crítica - 06/03
Introducción
CVE‑2026‑26266 es un riesgo crítico que afecta al cliente web de AliasVault, un gestor de contraseñas enfocado en la privacidad y la gestión de alias de correo electrónico. Se trata de un ejemplo de Cross-Site Scripting persistente (stored XSS), que permite la inyección y ejecución de código JavaScript malicioso de manera remota, comprometiendo la seguridad del usuario sin necesidad de autenticación previa.
El problema surge específicamente en la función que renderiza los correos electrónicos recibidos en alias dentro del cliente web. AliasVault utiliza elementos <iframe> con el atributo srcdoc para mostrar estos mensajes, pero sin un aislamiento de origen adecuado. Esto permite que un correo electrónico preparado con HTML o JavaScript malicioso pueda ejecutarse en el contexto de la propia aplicación. Dado que la aplicación no realiza un saneamiento ni validación estricta del contenido, el código malicioso se ejecuta con los mismos privilegios que el cliente web, exponiendo a los usuarios a un riesgo significativo.
Análisis
CVE‑2026‑26266 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:H/A:N - 9,3
CVE‑2026‑26266 permite a un atacante inyectar código malicioso en la aplicación y ejecutarlo posteriormente en el navegador de los usuarios legítimos. En el caso de AliasVault, este riesgo se encuentra en la forma en que el cliente web procesa y muestra los correos electrónicos de los alias.
Cuando un usuario recibe un correo en AliasVault, el contenido se renderiza dentro de un iframe mediante el atributo srcdoc. Esta técnica permite incrustar directamente contenido HTML, pero en la versión afectada no existe un aislamiento de origen adecuado. Como consecuencia, cualquier código contenido dentro del iframe puede ejecutarse con los mismos privilegios que la aplicación principal, lo que genera un vector de ataque crítico, ya que un correo malicioso diseñado con HTML o JavaScript puede ejecutarse como si formara parte de la propia aplicación.
La vulnerabilidad es persistente. Una vez que el correo malicioso se almacena, cualquier usuario que acceda a él queda expuesto, lo que abre la posibilidad de robo de credenciales, secuestro de sesiones o ejecución de acciones no autorizadas en el entorno del cliente web. Por esta razón, la exposición no se limita a un solo usuario o evento, sino que puede afectar a múltiples usuarios dentro de la organización.
Versiones afectadas
AliasVault Web Client versiones 0.25.3 y anteriores.
Recomendaciones
- Actualizar las instancias del cliente web de AliasVault a la versión 0.26.0 o superior
- Revisar y endurecer las políticas de saneamiento de HTML, especialmente al renderizar contenidos de correo electrónico
- Implementar Content Security Policy (CSP) restrictiva para minimizar el impacto de posibles scripts maliciosos
- Monitorizar los logs de servidor y actividad de usuario para detectar patrones inusuales que puedan indicar explotación de XSS (peticiones repetidas, parámetros sospechosos, etc.)
- Realizar auditorías de seguridad y pruebas de penetración periódicas en casos donde terceros puedan enviar contenidos HTML que se renderizan en interfaces de usuario
Workarounds
No hay workarounds para esta vulnerabilidad.