Se ha descubierto una falla de seguridad crítica en Grist-Core , una versión de código abierto y autohospedada de la base de datos relacional de hojas de cálculo Grist, que podría provocar la ejecución remota de código.

La vulnerabilidad, rastreada como CVE-2026-24002 (puntuación CVSS: 9.1), tiene el nombre en código Rotura de celda de Cyera Research Labs.

«Una fórmula malintencionada puede convertir una hoja de cálculo en una cabeza de playa de ejecución remota de código (RCE)», dijo el investigador de seguridad Vladimir Tokarev, que descubrió la falla, dijo . «Este escape de tipo sandbox permite al autor de una fórmula ejecutar comandos del sistema operativo o ejecutar JavaScript en tiempo de ejecución del host, lo que reduce el límite entre la «lógica de la celda» y la ejecución del host».

Cellbreak se clasifica como un caso de Piósido sandbox escape, el mismo tipo de vulnerabilidad que también afectó recientemente a n8n ( CVE-2025-68668 , puntuación CVSS: 9.9, también conocido como N8scape). La vulnerabilidad se solucionó en la versión 1.7.9, publicada el 9 de enero de 2026.

«Una revisión de seguridad identificó una vulnerabilidad en el método de sandboxing 'pyodide' que está disponible en Grist», afirman los mantenedores del proyecto dijo . «Puedes comprobar si estás afectado en la sección de sandboxing del panel de administración de tu instancia. Si ves «gvisor» ahí, significa que no te afecta. Si ves la palabra «piódido», es importante que actualices a esta versión de Grist o a una posterior».

En pocas palabras, el problema tiene su origen en la ejecución de fórmulas de Python de Grist, que permite ejecutar fórmulas que no son de confianza dentro de Pyodide, una distribución de Python que permite ejecutar código Python normal directamente en un navegador web dentro de los límites de un WebAssembly ( AVISPA ) caja de arena.

Si bien la idea detrás de este proceso de pensamiento es garantizar que el código de la fórmula de Python se ejecute en un entorno aislado, el hecho de que Grist utilice un enfoque tipo lista de bloques permite escapar del entorno limitado y, en última instancia, lograr la ejecución de comandos en el host subyacente.

«El diseño del sandbox permite recorrer la jerarquía de clases de Python y deja ctypes disponibles, que en conjunto abren el acceso a las funciones de ejecución de Emscripten, a las que nunca debería accederse desde una celda de fórmula», explica Tokarev. «Esta combinación permite la ejecución de comandos del servidor y la ejecución de JavaScript en el entorno de ejecución del servidor, con resultados prácticos como el acceso al sistema de archivos y la exposición de datos secretos».

Según Grist, cuando un usuario ha configurado SABOR GRIST_SANDBOX_ a Pyodide y abre un documento malicioso, ese documento podría usarse para ejecutar procesos arbitrarios en el servidor que aloja Grist. Con esta capacidad de ejecutar comandos o JavaScript mediante una fórmula, un atacante puede aprovechar este comportamiento para acceder a las credenciales de la base de datos y a las claves de API, leer archivos confidenciales y ofrecer oportunidades de movimiento lateral.

Grist ha abordado el problema trasladando la ejecución de la fórmula de piódido al Deno Tiempo de ejecución de JavaScript por defecto. Sin embargo, vale la pena señalar que el riesgo vuelve a aparecer si un operador elige explícitamente establecer GRIST_PYODIDE_SKIP_DENO en el valor «1». Esta configuración debe evitarse en situaciones en las que es probable que se ejecuten fórmulas que no sean de confianza o que no sean de confianza.

Se recomienda a los usuarios que actualicen a la última versión lo antes posible para mitigar los posibles riesgos. Para mitigar temporalmente el problema, se recomienda establecer la variable de entorno GRIST_SANDBOX_FLAVOR en «gvisor».

«Esto refleja el riesgo sistémico que se encuentra en otras plataformas de automatización: una única superficie de ejecución con acceso privilegiado puede derrumbar los límites de confianza de la organización cuando su entorno de pruebas falla», afirma Tokarev.

«Cuando la ejecución de la fórmula depende de un entorno limitado permisivo, un solo escape puede convertir la 'lógica de datos' en una 'ejecución del host'. Los hallazgos de Grist-Core muestran por qué el sandboxing debe basarse en las capacidades y en la defensa en profundidad, no en una frágil lista de bloqueos. El coste de un fallo no es solo un error: es una brecha en el plano de los datos».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.