← volver
CVE-2026-41468

Beghelli Sicuro24 SicuroWeb AngularJS Sandbox Escape via Template Injection

CVSS 9.3 CRITICALEPSS 0.4%CWE-1104
En resumen

Beghelli Sicuro24 SicuroWeb utiliza una versión obsoleta de AngularJS que los atacantes pueden eludir para ejecutar código malicioso en el navegador del usuario. Esto permite que los criminales roben sesiones, manipulen la página o tomen el control total del navegador sin que el usuario lo note.

Detalle técnico

La aplicación incorpora AngularJS 1.5.2, que contiene primitivos conocidos de escape de sandbox explotables mediante template injection. Los atacantes adyacentes a la red pueden entregar el payload de inyección a través de ataques MITM en conexiones HTTP en texto plano, logrando ejecución arbitraria de JavaScript en sesiones de operador sin interacción del usuario, lo que lleva al secuestro de sesión y compromiso persistente.

Resumen generado y traducido por IA a partir de la descripción oficial.
Beghelli Sicuro24 SicuroWeb embeds AngularJS 1.5.2, an end-of-life component containing known sandbox escape primitives. When combined with template injection present in the same application, these primitives allow attackers to escape the AngularJS sandbox and achieve arbitrary JavaScript execution in operator browser sessions, enabling session hijacking, DOM manipulation, and persistent browser compromise. Network-adjacent attackers can deliver the complete injection and escape chain via MITM in plaintext HTTP deployments without active user interaction.
CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:L/SC:H/SI:H/SA:L
Productos afectados
Beghelli · SicuroWeb (Sicuro24)
PoCs públicas encontradas2
cve_referencegithub.com/kmkz/Exploits/blob/master/2026/CVE-2026-22191-POC.pyno verificadocve_referencewww.boffsec-services.com/posts/sicuroweb-cve-2026-22191/no verificado
⚠ Recursos públicos, para evaluar la exposición de sistemas que controlas o estás autorizado a probar. Prueba solo con autorización.

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →
Referencias
https://github.com/kmkz/Exploits/blob/master/2026/CVE-2026-22191-POC.pyhttps://github.com/kmkz/Exploits/blob/master/2026/CVE-2026-22191-SicuroWeb-ATI-chain.txthttps://www.beghelli.ithttps://www.boffsec-services.com/posts/sicuroweb-cve-2026-22191/https://www.vulncheck.com/advisories/beghelli-sicuro24-sicuroweb-angularjs-sandbox-escape-via-template-injection