**Nueva Vulnerabilidad Crítica en Perry: CVE-2026-53776**

En el dinámico panorama de la ciberseguridad, la detección de vulnerabilidades críticas es un fenómeno alarmantemente frecuente. Recientemente, se ha identificado una nueva vulnerabilidad bajo el identificador CVE-2026-53776, que ha obtenido una puntuación CVSS de 9.1 sobre 10. Este nivel de severidad indica un riesgo significativo para los sistemas que utilizan la biblioteca afectada, lo que requiere una atención inmediata por parte de los equipos de seguridad de todas las organizaciones que dependen de este software.

La vulnerabilidad en cuestión reside en las versiones anteriores a la 0.5.1166 de Perry, un software que utiliza JSON Web Tokens (JWT) para la autenticación. Específicamente, se trata de una debilidad en la validación de JWT que permite a atacantes remotos eludir la expiración de los tokens. Esto se debe a la configuración incondicional de `validate_exp = false` dentro del helper `verify_decode`, que forma parte del proceso de verificación de JWT en la biblioteca estándar. Como consecuencia, un atacante que posea un token de portador previamente emitido puede presentar tokens caducados a cualquier llamada de `jwt.verify()` y mantener el acceso autenticado de forma indefinida, eludiendo así sesiones que han sido forzadas a expirar, como el cierre de sesión del usuario o la revocación administrativa.

Esta vulnerabilidad se clasifica como CWE-613, lo que indica que se trata de una debilidad en la gestión de la expiración de tokens, un aspecto crítico de la seguridad de las aplicaciones modernas que utilizan JWT para la autenticación.

En cuanto al vector de ataque, este se clasifica como NETWORK, con una complejidad de ataque baja. Esto significa que no se requieren privilegios especiales para llevar a cabo el ataque, ni tampoco es necesaria la interacción del usuario. La accesibilidad de la vulnerabilidad y la facilidad con la que puede ser explotada la convierten en una amenaza considerable para cualquier organización que utilice esta biblioteca de software.

La puntuación CVSS de 9.1 coloca esta vulnerabilidad en la categoría CRÍTICA del sistema de puntuación de vulnerabilidades comunes (CVSS v3.1), que abarca un rango de 0 a 10. Las vulnerabilidades que superan la puntuación de 9.0 son consideradas de alto riesgo y suelen permitir la ejecución remota de código, la escalada de privilegios o el compromiso total de los sistemas, lo que puede tener repercusiones devastadoras.

Para mitigar el riesgo que representa esta vulnerabilidad, es crucial que todas las organizaciones que utilicen el software afectado apliquen de manera inmediata los parches de seguridad disponibles. Además, deben llevar a cabo una revisión exhaustiva de sus sistemas en busca de indicadores de compromiso y monitorizar el tráfico de red en busca de actividades sospechosas relacionadas con esta vulnerabilidad.

Los administradores de sistemas pueden encontrar información técnica adicional y parches en los siguientes enlaces: [Perry Releases](https://github.com/PerryTS/perry/releases/v0.5.1166), [Advisory GHSA-5324-c68v-8w62](https://github.com/PerryTS/perry/security/advisories/GHSA-5324-c68v-8w62), [Vulncheck Advisory](https://www.vulncheck.com/advisories/perry-jwt-expiration-bypass-via-verify-decode).

En la historia reciente de la ciberseguridad, hemos visto incidentes similares relacionados con la gestión de tokens y la autenticación, lo que subraya la importancia de adoptar prácticas robustas de seguridad y monitorización. Este incidente no solo destaca la vulnerabilidad de las aplicaciones modernas, sino que también sirve como un recordatorio de la necesidad continua de que las organizaciones mantengan una postura de seguridad proactiva y reactiva frente a amenazas emergentes.