Se ha descubierto una vulnerabilidad de seguridad crítica (CVE-2025-53833) en LaRecipe, una popular herramienta generadora de documentación con más de 2.3 millones de descargas. Esta falla permite a los atacantes ejecutar comandos arbitrarios en los servidores mediante una inyección de plantilla del lado del servidor (SSTI), lo que podría resultar en un compromiso total del sistema. Todas las versiones del paquete binariotorch/larecipe Composer anteriores a la versión 2.8.1 están afectadas.
Detalles Técnicos y Magnitud del Riesgo
Según GitHub, la vulnerabilidad surge de una validación de entrada incorrecta en el sistema de procesamiento de plantillas de LaRecipe. Esto permite a los atacantes inyectar código malicioso directamente en las plantillas del servidor. La inyección de plantillas del lado del servidor ocurre cuando la entrada de un usuario no se procesa adecuadamente antes de integrarse en los motores de plantillas, lo que posibilita la ejecución de código arbitrario en el servidor de destino.
A esta vulnerabilidad se le ha asignado una calificación de gravedad Crítica con una puntuación base CVSS v3.1 que indica el máximo impacto en la confidencialidad, integridad y disponibilidad. El vector de ataque se clasifica como basado en red con baja complejidad, y no requiere privilegios ni interacción del usuario para ser explotado. El alcance de la vulnerabilidad se marca como «Cambiado», lo que significa que una explotación exitosa puede afectar recursos más allá del componente vulnerable. Investigadores de seguridad han confirmado que esta falla permite el acceso a variables de entorno sensibles, la ejecución de comandos del sistema y una potencial escalada de acceso, dependiendo de la configuración del servidor.
Medidas de Mitigación Urgentes
Se recomienda encarecidamente a los usuarios que actualicen de inmediato a la versión 2.8.1 de LaRecipe, que incluye los parches necesarios para esta vulnerabilidad SSTI. El equipo de desarrollo ha confirmado que todas las versiones anteriores a la 2.8.1 permanecen vulnerables. Las organizaciones deben priorizar esta actualización como un parche de seguridad de emergencia dada la naturaleza crítica de la vulnerabilidad y su facilidad de explotación.
Adicionalmente, los administradores de sistemas deben implementar medidas de seguridad adicionales, como la validación rigurosa de entradas, configuraciones de seguridad robustas para el motor de plantillas y la segmentación de la red para minimizar la exposición. Los equipos de seguridad también deben monitorear cualquier indicador de compromiso y realizar evaluaciones de seguridad exhaustivas en los sistemas que hayan ejecutado versiones vulnerables de LaRecipe.
