CVE-2026-33682 in Streamlitinformación

Resumen

por VulDB • 2026-05-15

Streamlit es un framework de desarrollo de aplicaciones orientado a datos para Python. Las versiones de código abierto de Streamlit anteriores a la 1.54.0 que se ejecutan en hosts Windows presentan una vulnerabilidad de Inyección de Peticiones del Lado del Servidor (SSRF) sin autenticación. La vulnerabilidad surge de la validación inadecuada de las rutas de sistema de archivos proporcionadas por el atacante. En ciertas rutas de código, incluidas las del `ComponentRequestHandler`, las rutas del sistema de archivos se resuelven utilizando `os.path.realpath()` o `Path.resolve()` antes de que se produzca una validación suficiente. En sistemas Windows, proporcionar una ruta UNC maliciosa (por ejemplo, `\\host-controlado-por-el-atacante\compartido`) puede hacer que el servidor Streamlit inicie conexiones SMB salientes a través del puerto 445. Cuando Windows intenta autenticarse con el servidor SMB remoto, las credenciales de desafío-respuesta NTLMv2 del usuario de Windows que está ejecutando el proceso de Streamlit pueden transmitirse. Este comportamiento puede permitir a un atacante realizar ataques de retransmisión NTLM contra otros servicios internos y/o identificar hosts SMB alcanzables internamente mediante análisis de temporización. La vulnerabilidad se ha corregido en la versión de código abierto de Streamlit 1.54.0.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-03-23

Divulgación

2026-03-27

Moderación

aceptado

Artículo

VDB-353757

CPE

listo

EPSS

0.00282

KEV

no

Actividades

muy bajo

Fuentes

Do you need the next level of professionalism?

Upgrade your account now!