28 de enero de 2026

"Cellbreak": Detectan vulnerabilidad crítica en Grist-Core que permite el control total de servidores

"Cellbreak": Detectan vulnerabilidad crítica en Grist-Core que permite el control total de servidores

Investigadores de seguridad han revelado una vulnerabilidad de máxima gravedad en Grist-Core, la versión de código abierto de la plataforma de hojas de cálculo relacionales Grist. El fallo, bautizado como "Cellbreak", permite a un atacante ejecutar código de forma remota (RCE) en el servidor que aloja la aplicación mediante el simple uso de fórmulas en una hoja de cálculo.

La vulnerabilidad, identificada como CVE-2026-24002, ha recibido una calificación de 9.1 sobre 10.0 en la escala CVSS, lo que subraya su peligrosidad para empresas y usuarios que gestionan sus propias instancias de esta herramienta.

El origen: Una falla en el aislamiento de Python

El problema técnico reside en la forma en que Grist ejecuta las fórmulas de Python. Para garantizar la seguridad, la aplicación utiliza Pyodide, una distribución de Python diseñada para ejecutarse dentro de un entorno aislado (sandbox) basado en WebAssembly.

Sin embargo, los laboratorios de Cyera Research Labs, quienes descubrieron el fallo, demostraron que es posible "escapar" de este entorno seguro. Al insertar una fórmula maliciosa en un documento, un atacante puede saltar las restricciones de Pyodide y ejecutar comandos arbitrarios directamente en el sistema operativo del servidor host.

Impacto y Riesgos

De ser explotada con éxito, la vulnerabilidad "Cellbreak" otorga a los atacantes capacidades devastadoras:

  • Acceso a datos sensibles: Lectura de archivos internos y bases de datos.

  • Robo de credenciales: Extracción de llaves de API y contraseñas almacenadas en el servidor.

  • Movimiento lateral: Uso del servidor comprometido como puente para atacar otros sistemas dentro de la red corporativa.

Los expertos comparan este incidente con el reciente fallo "N8scape" en la plataforma n8n, señalando un patrón preocupante en cómo las aplicaciones modernas manejan la ejecución de código en entornos supuestamente seguros.

Medidas de mitigación y parcheo

Los desarrolladores de Grist reaccionaron rápidamente lanzando la versión 1.7.9, la cual soluciona el problema cambiando el motor de ejecución de fórmulas por defecto.

Recomendaciones para administradores:

  1. Actualizar inmediatamente: Es crítico migrar a la versión 1.7.9 o superior.

  2. Verificar el Sandboxing: En el Panel de Administración de la instancia, los usuarios deben confirmar que el método de aislamiento sea 'gvisor', el cual no es afectado por esta vulnerabilidad.

  3. Configuración de Deno: La nueva versión traslada la ejecución a un entorno Deno JavaScript por defecto. Se advierte a los usuarios no forzar la omisión de este nuevo entorno (evitar el ajuste GRIST_PYODIDE_SKIP_DENO=1), ya que esto reactivaría la superficie de ataque.

"Cellbreak demuestra que el sandboxing no debe ser una lista de bloqueos frágil, sino un sistema basado en capacidades y defensa en profundidad", declararon los investigadores. Con el aumento de herramientas de datos auto-gestionadas, este caso sirve como un recordatorio crítico sobre los riesgos de permitir lógica de datos sin un aislamiento robusto.

Fuente: https://www.cyera.com/research-labs/cellbreak-grists-pyodide-sandbox-escape-and-the-data-at-risk-blast-radius
← Anterior Microsoft lanza parche de emergencia ant...
Siguiente → Ciberespionaje: Hackers vinculados a Chi...
Escrito por:
Luis Carreón
📰 Otras noticias del día
Microsoft lanza parche de emergencia ante explotación activa de vulnerabilidad "Zero-Day" en Office
Ciberespionaje: Hackers vinculados a China utilizan el nuevo framework "PeckBirdy" para atacar gobiernos y empresas
📧 Suscríbete

Recibe las últimas noticias de ciberseguridad directamente en tu email.

← Volver al inicio