CyberGlossary

Vulnerabilidades

Asignación masiva

También conocido como: Vulnerabilidad de autobinding, Inyección de objetos

Definición

Vulnerabilidad en la que la aplicación enlaza ciegamente campos del cliente a propiedades internas, permitiendo al atacante establecer atributos que no debería controlar.

La asignación masiva surge cuando frameworks (Rails, Spring, ASP.NET, NestJS, Django) mapean automáticamente JSON o campos de formulario a atributos del modelo sin una lista blanca explícita. Un atacante puede añadir propiedades adicionales —isAdmin, role, balance, tenantId— que el servidor escribe en la base de datos. Es difícil de detectar en revisión porque la asignación es implícita. También se conoce como autobinding o object injection. Mitigaciones: DTO o esquemas de entrada explícitos, listas blancas estrictas de campos enlazables, separar atributos internos de los modelos enlazables y pruebas de seguridad que envíen claves JSON inesperadas.

Ejemplos

  • Enviar {"name":"Bob","isAdmin":true} a /api/users y convertirse en administrador.
  • Actualizar un pedido con un campo oculto de descuento vía POST para saltarse las reglas de precios.

Términos relacionados