Vulnerabilidades críticas en Grist-Core 2026
Vulnerabilidad crítica - 27/01
Introducción
CVE-2026-24002 es una vulnerabilidad de seguridad crítica descubierta en Grist-Core, una versión de código abierto del software de hojas de cálculo relacionales Grist.
Análisis
CVE-2026-24002 - CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:C/C:H/I:H/A:H - 9
CVE-2026-24002 permite a un atacante escapar del sandbox de ejecución de Python (Pyodide) dentro de Grist y ejecutar código arbitrario en la máquina que aloja Grist, incluso con la capacidad de ejecutar procesos del sistema, acceder al sistema de archivos o exponer secretos. Un solo documento malicioso podría permitir a un atacante tomar control de la instancia de Grist, leer o modificar datos internos, ejecutar comandos del sistema operativo e incluso acceder a credenciales sensibles que se encuentren en el servidor que hospeda Grist.
Versiones afectadas
Grist-Core versiones anteriores a 1.7.9.
Recomendaciones
- Actualizar Grist
- No usar Pyodide como sandbox
- No forzar el uso de Pyodide con la variable GRIST_PYODIDE_SKIP_DENO=1, ya que esto puede reintroducir el riesgo
Workarounds
No hay workarounds para esta vulnerabilidad.