SQLi autenticada en Koha pone en riesgo la base de datos desde la interfaz de personal

El CVE-2026-31844, publicado el 11 de marzo de 2026, describe una vulnerabilidad de inyección SQL autenticada en Koha que afecta a la interfaz de personal y, en concreto, al módulo de gestión de sugerencias. El fallo reside en el tratamiento del parámetro displayby dentro de suggestion.pl, lo que permite que un usuario de staff con bajos privilegios fuerce la ejecución de consultas SQL no previstas. Koha ya ha distribuido correcciones para las ramas afectadas en las versiones 24.11.12, 25.05.07 y 25.11.01.

¿Qué es el CVE-2026-31844?

Se trata de una vulnerabilidad clasificada como CWE-89 (SQL Injection). En términos sencillos, un parámetro que debería limitarse a valores válidos o filtrado acaba influyendo en la construcción de una consulta SQL. Eso abre la puerta a que un usuario autenticado manipule la petición y haga que la aplicación consulte la base de datos de una forma distinta a la prevista por los desarrolladores.

Lo importante aquí es que no estamos ante un fallo “de login” ni ante una vulnerabilidad expuesta directamente a cualquier visitante. El problema aparece en la staff interface de Koha, en la ruta de gestión de sugerencias de compra. Según la documentación oficial del producto, esa funcionalidad está ligada al permiso suggestions_manage, por lo que el riesgo real se materializa cuando una cuenta interna —o una cuenta robada— tiene acceso a esa parte del sistema.

Impacto en negocio y seguridad

La severidad publicada por la CNA sitúa este fallo en 8.7 CVSS v4 y 8.8 CVSS v3.1, con un vector especialmente delicado: el ataque es remoto, requiere solo privilegios bajos y no necesita interacción del usuario. Traducido: basta con disponer de una cuenta válida de personal con permisos limitados para iniciar el abuso, sin que otra persona tenga que hacer clic, aprobar una acción o abrir un archivo.

Desde el punto de vista técnico, el impacto alcanza a confidencialidad, integridad y disponibilidad. Es decir, el atacante podría acceder a información sensible almacenada en la base de datos, alterar registros o incluso degradar el servicio. El propio registro del CVE advierte de un posible compromiso completo del backend de base de datos, y el bug tracker de Koha describe escenarios de filtrado de información sensible y ataques de denegación de servicio.

Llevado a negocio, esto significa algo muy concreto: una cuenta de staff comprometida podría convertirse en una vía para extraer datos internos, modificar el estado de sugerencias o manipular información operativa de la biblioteca. Aunque la vulnerabilidad sea autenticada, el riesgo no es menor; en la práctica, muchas intrusiones reales empiezan precisamente por una credencial interna reutilizada, robada o expuesta.

Mitigación y corrección

La medida prioritaria es actualizar Koha. El registro oficial del CVE indica que están afectadas las ramas 24.11.x anteriores a la 24.11.12, de 25.05.x las anteriores a 25.05.07 y de 25.11.x las anteriores a 25.11.01. Las notas de versión de Koha confirman además que el bug 41593 se corrigió en esas releases de seguridad.

A nivel técnico, el parche aplica una defensa correcta para este tipo de problema: en vez de “limpiar” el parámetro de forma genérica, restringe displayby a una lista cerrada de valores permitidos. En otras palabras, Koha ha pasado de aceptar una entrada demasiado flexible a validar estrictamente qué opciones son legítimas antes de usarlas en funciones sensibles. Ese enfoque es el adecuado cuando la entrada puede influir en columnas, campos o partes estructurales de una consulta SQL.

Además del parche, conviene revisar quién tiene realmente el permiso suggestions_manage, limitar el acceso a la interfaz de personal a redes de confianza o VPN y vigilar indicadores como errores 500 o trazas SQL anómalas relacionadas con suggestion.pl. Si existe sospecha de explotación previa, el incidente debería tratarse como un posible compromiso de base de datos: revisión de logs, validación de cambios no autorizados y rotación de credenciales potencialmente expuestas.

Más información:

• NVD – CVE-2026-31844 Detail: https://nvd.nist.gov/vuln/detail/CVE-2026-31844
• Github – Registro oficial de CVE-2026-31844: https://raw.githubusercontent.com/CVEProject/cvelistV5/refs/heads/main/cves/2026/31xxx/CVE-2026-31844.json
• Koha – Bug 41593 de Koha: Authenticated SQL Injection in staff side suggestions: https://bugs.koha-community.org/bugzilla3/show_bug.cgi?id=41593
• Koha – Notas de versión de Koha 24.11.12: https://koha-community.org/koha-24-11-12-released/
• Koha – Notas de versión de Koha 25.05.07: https://koha-community.org/koha-25-05-07-released/
• Koha – Notas de versión de Koha 25.11.01: https://koha-community.org/koha-25-11-01-released/
• Koha – Manual de Koha sobre gestión de sugerencias y permisos: https://koha-community.org/manual//24.05/en/html/acquisitions.html

La entrada SQLi autenticada en Koha pone en riesgo la base de datos desde la interfaz de personal se publicó primero en Una Al Día.