Se ha detectado una vulnerabilidad crítica de seguridad (CVE-2026-6100) en las bibliotecas de descompresión de Python (lzma, bz2, gzip), fundamentales en servidores de aplicaciones y herramientas de procesamiento de datos basadas en software libre. Un atacante podría explotar esta falla para ejecutar código arbitrario o acceder a información confidencial.
La vulnerabilidad afecta a aplicaciones que utilicen Python y reusen instancias de descompresor (decompressor) después de un error de asignación de memoria (MemoryError) durante operaciones de alta carga.
IMPACTO
- Ejecución remota de código (RCE): Un atacante podría tomar control total del servidor afectado.
- Divulgación de información: Acceso a datos sensibles de la administración pública.
- Denegación de Servicio (DoS): Paralización de los sistemas institucionales.
DETALLES TÉCNICOS
La falla es un tipo de "use-after-free" (uso de memoria tras liberación). Se produce cuando el sistema intenta reutilizar un objeto de descompresión que ya fue marcado como erróneo o liberado, permitiendo a un atacante inyectar datos manipulados en esa zona de memoria.
MITIGACIÓN Y ACCIONES RECOMENDADAS
Se solicita a los equipos de TI de la Administración Pública realizar las siguientes acciones de manera inmediata:
- Actualizar el entorno Python: Aplicar los parches de seguridad más recientes proporcionados por la distribución de Linux (Debian/Canaima/Ubuntu) que resuelvan esta CVE.
- Validar Aplicaciones: Revisar el código fuente de aplicaciones propias para asegurar que los descompresores no se reutilicen tras un error (MemoryError).
- Uso de métodos seguros: Priorizar el uso de funciones "one-shot" de descompresión (ej. lzma.decompress()), las cuales no son vulnerables al crear una nueva instancia por llamada.