🛡 VULNERABILIDADES 🛡

Diversas fallas de seguridad en el videojuego Assassin de Gaudire

🛡CyberObservatorio
Diversas fallas de seguridad en el videojuego Assassin de Gaudire
Idioma

Diversas fallas de seguridad en el videojuego Assassin de Gaudire

Fuente: INCIBE

**Vulnerabilidades Críticas en el Juego "Assassin" de Gaudire: Un Análisis Exhaustivo**

En el contexto actual, donde los videojuegos han evolucionado para convertirse en plataformas interactivas que abarcan tanto entretenimiento como desarrollo comunitario, la seguridad en estas aplicaciones se ha vuelto un tema de suma importancia. Recientemente, el Instituto Nacional de Ciberseguridad (INCIBE) ha coordinado la divulgación de tres vulnerabilidades en el juego "Assassin", desarrollado por la empresa Gaudire. De estas vulnerabilidades, dos han sido clasificadas como críticas y una como de severidad media. Este descubrimiento, realizado por el investigador Adrià Bonilla Martin, conocido en el ámbito de la ciberseguridad como k0x, pone en riesgo no solo la integridad del juego, sino también la seguridad de los datos de sus usuarios, incluidos menores de edad, lo que genera una preocupación considerable entre padres, desarrolladores y autoridades.

Las vulnerabilidades identificadas han sido catalogadas con los siguientes códigos CVE, y se les ha asignado una puntuación en la escala CVSS v4.0 que refleja su gravedad. La primera vulnerabilidad, CVE-2026-7165, ha recibido una puntuación de 9.4, lo que la clasifica como crítica. La segunda, CVE-2026-7166, tiene una puntuación de 9.2, también en el rango crítico. Finalmente, la tercera vulnerabilidad, CVE-2026-7167, ha sido calificada con una puntuación de 6.9, siendo considerada de severidad media. Esta categorización es fundamental para entender el nivel de riesgo que representan estas vulnerabilidades y la urgencia de su mitigación.

Imagen del articulo

La vulnerabilidad CVE-2026-7165 se encuentra en el endpoint '/addJugador' del juego. Este fallo permite a los atacantes autenticados manipular información de otros usuarios mediante la modificación de los parámetros 'keyJugador' y 'keyJugadorObjectiu', sin requerir una validación de autorización. Esto implica que un atacante podría alterar el ID de cualquier usuario, permitiéndole cambiar su información personal, lo que plantea un grave riesgo de suplantación de identidad. Además, los campos 'punts' y 'numObjectiusEliminats' permiten la inserción de datos no verificados, lo que podría facilitar el acceso a premios reales mediante la falsificación de puntuaciones. En un contexto donde los premios son otorgados por ayuntamientos, esto podría resultar en un fraude significativo.

Otro aspecto crítico de esta vulnerabilidad es la posibilidad de autoasignación de privilegios administrativos a través del campo 'tokens', lo que permite a un atacante autenticado escalar privilegios sin la adecuada validación del servidor. Esta situación podría derivar en ataques de denegación de servicio (DoS) si se introducen valores extremadamente largos en los campos numéricos, colapsando el sistema y haciendo que las partidas sean injugables. Además, la vulnerabilidad permite realizar peticiones a URLs arbitrarias a través del parámetro 'urlImatge', lo que podría resultar en la exposición de direcciones IP internas y la interacción no autorizada con servicios de terceros, comprometiendo aún más la seguridad de los datos.

La segunda vulnerabilidad, CVE-2026-7166, se centra en la exposición de datos sensibles como correos electrónicos y teléfonos a través de la API del juego. La falta de protección adecuada en la transmisión de estos datos podría permitir a un atacante remoto no autenticado acceder a información crítica, incluyendo datos de menores y usuarios de ayuntamientos. Esto no solo plantea un riesgo individual para los usuarios afectados, sino que también representa una violación de normativas de protección de datos, como el GDPR, lo cual podría tener repercusiones legales para la empresa desarrolladora.

Imagen del articulo

Por último, CVE-2026-7167 destaca una falta de validación en el campo 'email' durante el proceso de autenticación. Esta vulnerabilidad permite la creación de cuentas de usuario con direcciones de correo electrónico no verificadas o falsas, facilitando la generación masiva de cuentas fraudulentas. La explotación de esta vulnerabilidad podría llevar a varios tipos de abusos, como el envío de spam o la elusión de controles de usuario, comprometiendo la integridad del sistema y el bienestar de la comunidad de jugadores.

A raíz de estas vulnerabilidades, el impacto en los usuarios y la industria del videojuego podría ser considerable. La confianza de los jugadores en la seguridad de las plataformas participativas podría verse afectada, lo que podría resultar en una disminución de la participación. Para las empresas, el riesgo de sanciones legales y la pérdida de reputación son consecuencias que no pueden ser ignoradas. Además, la falta de soluciones reportadas hasta el momento agrava la situación, ya que los jugadores permanecen expuestos a estos riesgos mientras se busca una mitigación efectiva.

Históricamente, la industria de los videojuegos ha enfrentado incidentes similares, donde la seguridad ha sido comprometida, resultando en filtraciones de datos y fraudes. Esto ha llevado a un enfoque creciente en la implementación de prácticas de seguridad más robustas durante el desarrollo de software. Sin embargo, el caso de "Assassin" resalta que aún queda un largo camino por recorrer en términos de protección de datos y seguridad en las aplicaciones interactivas.

Imagen del articulo

En conclusión, las vulnerabilidades descubiertas en "Assassin" de Gaudire representan un llamado de atención urgente a desarrolladores y jugadores por igual. Es imperativo que se implementen medidas de seguridad más rigurosas y se realicen auditorías exhaustivas para asegurar la protección de los datos de los usuarios. Los jugadores deben ser conscientes de los riesgos y, en la medida de lo posible, evitar compartir información sensible en plataformas que no cuenten con las debidas garantías de seguridad. Mientras tanto, los desarrolladores deben trabajar de manera proactiva para corregir estas vulnerabilidades y fortalecer la confianza en sus productos.

Multiple vulnerabilities in the game Assassin by Gaudire

Source: INCIBE

Assassin Game, latest version.

INCIBE has coordinated the publication of 3 vulnerabilities, 2 of critical severity and 1 of medium severity, affecting the Assassin game by Gaudire, a participatory game with technology and creative content. The vulnerabilities were discovered by Adrià Bonilla Martin k0x.

The following codes have been assigned to these vulnerabilities, along with their CVSS v4.0 base scores, CVSS vectors, and the CWE type for each vulnerability:

Imagen del articulo

CVE-2026-7165: CVSS v4.0: 9.4 | CVSS AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H | CWE-20

CVE-2026-7166: CVSS v4.0: 9.2 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N | CWE-200

CVE-2026-7167: CVSS v4.0: 6.9 | CVSS AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:L/SC:N/SI:N/SA:N | CWE-287

Imagen del articulo

No solution has been reported at this time.

CVE-2026-7165: The vulnerability is present in the endpoint '/addJugador' of Assassin by Gaudire: In the parameters 'keyJugador' and 'keyJugadorObjectiu', it allows modification of other users' information without prior authorization validation. This could allow an authenticated attacker to alter the ID of any user and change their information. In the fields 'punts' and 'numObjectiusEliminats', arbitrary data can be added, as user input is not properly validated. This enables obtaining real rewards by falsifying game scores granted by municipalities. In the 'tokens' field, self-assignment of administrative privileges is allowed without server validation or prior authentication. This vulnerability could allow an authenticated attacker to grant themselves admin permissions and thus escalate privileges. In numeric fields, it is possible to input extremely long values, which could lead to system saturation. Successful exploitation of this vulnerability could allow an authenticated attacker to cause a denial of service (DoS) attack, preventing created games from being playable. In the 'urlImatge' parameter, server-side requests to arbitrary URLs are allowed, enabling the retrieval of internal user IPs, access to internal services, reading local files, and unauthorized interaction with third-party APIs. An authenticated attacker could gain access to confidential data.

In the parameters 'keyJugador' and 'keyJugadorObjectiu', it allows modification of other users' information without prior authorization validation. This could allow an authenticated attacker to alter the ID of any user and change their information.

Imagen del articulo

In the fields 'punts' and 'numObjectiusEliminats', arbitrary data can be added, as user input is not properly validated. This enables obtaining real rewards by falsifying game scores granted by municipalities.

In the 'tokens' field, self-assignment of administrative privileges is allowed without server validation or prior authentication. This vulnerability could allow an authenticated attacker to grant themselves admin permissions and thus escalate privileges.

In numeric fields, it is possible to input extremely long values, which could lead to system saturation. Successful exploitation of this vulnerability could allow an authenticated attacker to cause a denial of service (DoS) attack, preventing created games from being playable.

Imagen del articulo

In the 'urlImatge' parameter, server-side requests to arbitrary URLs are allowed, enabling the retrieval of internal user IPs, access to internal services, reading local files, and unauthorized interaction with third-party APIs. An authenticated attacker could gain access to confidential data.

CVE-2026-7166: Exposure of sensitive data provided without adequate protection in Assassin by Gaudire. The API exposes email and phone data from the 'email' and 'telefon' fields. This vulnerability is also present in the local database as it contains sensitive information accessible, such as data of minors and municipal users. Successful exploitation of this vulnerability could allow a remote, unauthenticated attacker to access sensitive information and data.

CVE-2026-7167: The system does not adequately validate the 'email' field in Assassin by Gaudire during the authentication process, allowing the acceptance of unverified or fake email addresses. This lack of validation enables the creation of user accounts with fake emails, facilitating the mass creation of fraudulent accounts. Successful exploitation of this vulnerability could allow an authenticated attacker to carry out various attacks, such as mass spam sending, system abuse, or bypassing user controls, which would compromise the security and integrity of the system.

Diversas fallas de seguridad en el videojuego Assassin de Gaudire | Ciberseguridad - NarcoObservatorio