CVE-2026-6991

CVE-2026-6991 es un vulnerabilidad de medio nivel identificada en la biblioteca Zod, afectando versiones hasta 4.3.6. La falla está relacionada con el manejo del tipo de datos CUID y se origina en el archivo regexes.ts del componente CUID Data Type Handler.

Descripción de la Vulnerabilidad

La vulnerabilidad permite a un atacante ejecutar manipulaciones que pueden llevar a una inyección SQL mediante un ataque remoto. El componente afectado es un funcionamiento desconocido dentro del módulo de regexes de Zod, lo que sugiere un error en la validación de entradas no sanitizadas.

Sistemas Afectados

El sistema afectado es la versión de Zod hasta 4.3.6. El componente específico está en el archivo packages/zod/src/v4/core/regexes.ts, relacionado con el manejo del tipo de datos CUID.

Impacto y Explotabilidad

El impacto es medio según la puntuación CVSS 6.3, lo que indica un riesgo moderado. La vulnerabilidad permite a un atacante realizar inyecciones SQL sin necesidad de autenticación, con un vector de acceso remoto (AV:N/AC:L/PR:L/UI:N/S:U/C:L). El exploit fue publicamente disculrado y podría ser utilizado por actores maliciosos.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles. La información proporcionada no incluye datos específicos sobre patrones de tráfico, IPs, dominios o hashes relacionados con este CVE.

Mitigación y Parches

La mitigación recomendada es actualizar Zod a una versión posterior a 4.3.6, donde se supone que se haya corregido la vulnerabilidad. Se recomienda monitorear actualizaciones oficiales del proyecto y validar la seguridad de los componentes utilizados en aplicaciones críticas.