保護DataHogo
Enciclopedia de Seguridad/OWASP Web Top 10
mediumCWE-1395A06:2021

Fallos en Cadena de Suministro

Tu aplicación hereda vulnerabilidades de dependencias de terceros — paquetes desactualizados con CVEs conocidos que los atacantes explotan activamente.

Cómo Funciona

Las apps modernas dependen de cientos de paquetes npm/pip/Maven. Cuando una dependencia tiene una vulnerabilidad conocida (CVE), tu app hereda ese riesgo. Los atacantes escanean apps usando versiones vulnerables y las explotan a escala. Herramientas como npm audit las detectan, pero muchos devs ignoran las advertencias. Una sola dependencia transitiva vulnerable puede comprometer toda tu aplicación.

Código Vulnerable
// package.json
{
  "dependencies": {
    "lodash": "4.17.15",
    "express": "4.16.0",
    "minimist": "0.0.8"
  }
}
Código Seguro
// package.json — run: npm audit fix
{
  "dependencies": {
    "lodash": "4.17.21",
    "express": "4.21.0",
    "minimist": "1.2.8"
  }
}

Ejemplo Real

El incidente event-stream (2018) afectó millones de descargas. Un atacante tomó control de un paquete npm popular e inyectó código que robaba credenciales de wallets de criptomonedas de una app específica (Copay).

Cómo Prevenirlo

  • Ejecuta npm audit o snyk test regularmente
  • Fija versiones de dependencias con un lockfile
  • Usa herramientas automatizadas como Dependabot
  • Revisa changelogs antes de actualizaciones mayores

Tecnologías Afectadas

Node.jsReactNext.jsPythonGoJavaPHP

Data Hogo detecta esta vulnerabilidad automáticamente.

Escanea Tu Repo Gratis

Vulnerabilidades Relacionadas

Control de Acceso Roto

high

Los usuarios pueden actuar fuera de sus permisos, accediendo a datos de otros usuarios o funcionalidad admin sin verificaciones de autorización.

CWE-284A01:2021

Fallos Criptográficos

high

Datos sensibles expuestos por encriptación débil o faltante — usar algoritmos obsoletos como MD5/SHA1, guardar passwords en texto plano o transmitir datos sin TLS.

CWE-327A02:2021

Configuración de Seguridad Incorrecta

medium

Configuraciones por default, CORS abierto, modo debug en producción o mensajes de error detallados exponen tu aplicación a atacantes.

CWE-16A05:2021

Inyección (SQL, NoSQL, Comandos)

critical

El atacante inserta código malicioso en queries o comandos explotando input de usuario sin sanitizar — inyección SQL, NoSQL y de comandos del sistema.

CWE-89A03:2021