Escape de Sandbox Terrarium CVE-2026-5752: Actualización de noticias sobre la vulnerabilidad de Cohere AI y plan de respuesta de 72 horas

7 Min. de lectura · Fecha: 23.04.2026

El 14 de abril de 2026 se hizo público CVE-2026-5752, un escape de sandbox en el proyecto de código abierto Terrarium. CERT/CC analizó la vulnerabilidad el 22 de abril con un análisis detallado, CVSS 9.3, ejecución de código root en el contenedor de sandbox. El proveedor detrás de Terrarium es Cohere AI, no Cloudflare. Quien haya confundido al fabricante en los últimos días, debería corregir sus propias notas de mitigación. Los equipos de Edge-Workers, los MSPs con rutas de ejecución de código en aplicaciones LLM y todos los operadores que utilizan Terrarium para lógica de sandbox basada en contenedores, necesitan ahora una reacción inmediata en 72 horas.

Corrección de la verificación de hechos e incidente real

¿Qué es Terrarium? Terrarium es un entorno aislado (sandbox) de código abierto de Cohere AI, distribuido como contenedor Docker. Ejecuta código no confiable, a menudo fragmentos de código Python o JavaScript de usuarios o de Modelos de Lenguaje Grande (LLM). Cohere AI es el proveedor, no Cloudflare. La confusión aparece en algunos informes secundarios porque el stack de Cloudflare Workers tiene su propia arquitectura de entorno aislado. Quienes operan ambos stacks en paralelo deberían mantener los términos claros.

El error en sí mismo se hizo público el 14 de abril de 2026, con un análisis detallado adicional por parte de CERT/CC bajo la entrada VU#414811 el 22 de abril. La vulnerabilidad se encuentra en la cadena de prototipos de JavaScript. Un código cargado en el entorno aislado puede acceder al objeto global a través de la propiedad Prototype del constructor Function. El objeto Mock-Document en Terrarium se genera como un literal de objeto JavaScript estándar y hereda así propiedades de Object.prototype. Este mecanismo de herencia permite que el código del entorno aislado se eleve hasta globalThis y alcance Root en el contenedor.

Las consecuencias prácticas son graves. Un exploit exitoso otorga acceso Root en el contenedor, lee o escribe /etc/passwd y claves SSH, lee variables de entorno con claves de API de corta duración y alcanza servicios vecinos en la red de contenedores. Dependiendo de la configuración, las rutas de escape del contenedor hacia el host son probables. Especialmente delicada es la combinación con credenciales de corta duración en variables de entorno, que un atacante puede extraer en segundos antes de que las pipelines de detección reaccionen.

CVSS 9.3

Escape de entorno aislado con ejecución de código Root en el contenedor

14 de abril

CVE-2026-5752 pública, detalles de CERT/CC el 22 de abril

VU#414811

Aviso de CERT/CC con análisis técnico

Quién en la empresa está afectado y qué significa la acción inmediata

Tres clases de aplicaciones merecen la reacción más rápida. La primera son las aplicaciones de LLM (Modelos de Lenguaje Grande) con intérprete de código incorporado. Quien opera una aplicación de chat con ejecución de Python, casi con seguridad tiene una capa de sandbox en su stack. Si esta capa es Terrarium, el parche o mitigación debería estar en producción en 24 horas. Un inventario mediante escaneo SBOM (Bill of Materials de Software) o auditoría de imágenes de container aclara esto en pocas horas.

La segunda clase son los stacks de Enterprise-Edge, donde Terrarium funciona como componente en plataformas más grandes. Aquí es más difícil detectar la propagación, porque Terrarium a menudo está integrado más profundamente en las imágenes de container. Herramientas SBOM como Trivy, Grype o Snyk suelen proporcionar resultados fiables, siempre que los SBOMs estén actualizados. Quien no tiene disciplina SBOM pierde valioso tiempo de reacción en estas oleadas.

La tercera clase son las aplicaciones Multi-Tenant que ofrecen ejecución de código para clientes finales. Aquí la vulnerabilidad es especialmente crítica, porque un atacante con acceso Root en el container de sandbox podría potencialmente acceder a datos de otros tenants. Los operadores Multi-Tenant deberían realizar en paralelo a la mitigación un análisis forense de los últimos 30 días e informar activamente a los clientes tan pronto como la mitigación surta efecto.

Qué debe hacer de inmediato el equipo de Security Operations

Búsqueda SBOM de componentes Terrarium en imágenes de container propias
Forzar el bloqueo de IMDS a nivel de plataforma cloud
Restringir más la lista de permitidos (Egress-Allowlist) para containers de sandbox
Verificar permisos, usar tokens de corta duración en lugar de variables de entorno

Qué no es suficiente

Reglas WAF puras antes de la aplicación sin endurecimiento de containers
Confiar en «no estamos en producción» sin evidencia SBOM
Reinicio de container sin reconstrucción de imagen y despliegue
Parche sin redesarrollo en todos los nodos activos del cluster

Un plan de respuesta de 72 horas para equipos de Edge y Plataforma

Tres días son suficientes para la reacción inicial al incidente. El mecanismo está estrechamente relacionado con la respuesta de ASP.NET Core del mismo fin de semana, lo que facilita una coreografía compartida entre Ingeniería y Seguridad.

Horas 0-12

Inventario. Escaneo SBOM, auditoría de imágenes de contenedor, consulta a los equipos de plataforma. ¿Qué servicios utilizan Terrarium o rutas de ejecución de código en aplicaciones LLM?

Horas 12-24

Triaje. ¿Qué aplicaciones están expuestas a Internet, cuáles son multiinquilino, cuáles utilizan tokens de corta duración? Priorización según clase de riesgo.

Horas 24-36

Refuerzo. Forzar IMDSv2, configurar lista de permitidos de salida a nivel de contenedor, migrar secretos de variables de entorno a tokens basados en Vault.

Horas 36-48

Detección. Reglas SIEM para spawns de contenedores de sospechosos, búsqueda EDR en acceso a /etc/passwd, alertas de anomalías para conexiones salientes inusuales.

Horas 48-60

Examen forense. Revisar los registros de los últimos 30 días en busca de actividad sospechosa en sandbox. En caso de hallazgos, iniciar la cadena de incidentes e informar a los clientes multiinquilino.

Horas 60-72

Reporte. Informar el estado al CISO, Cumplimiento, posiblemente a Protección de Datos y autoridades supervisoras. Actualizar la documentación de arquitectura de la capa de sandbox, programar revisión de 90 días.

Lo que la brecha sobre el mundo de la AI Sandbox 2026 revela

Tres lecciones estructurales merecen atención. Primero: los errores de AI Sandbox en 2026 no son una disciplina de nicho. Con el auge de aplicaciones de LLM (Modelos de Lenguaje Grande) con función de intérprete de código, la sandbox se ha convertido en un componente crítico en los stacks empresariales. Quien despliegue una aplicación de chat con ejecución de Python, tiene una responsabilidad de sandbox que a menudo no figuraba en el pliego de condiciones.

Segundo: la disciplina del SBOM (Lista de Materiales de Software) determina el tiempo de respuesta. Quien mantiene una lista completa de componentes de software, reacciona en horas. Quien no tiene SBOM, busca durante días. En vulnerabilidades críticas como CVE-2026-5752, esta diferencia es operativamente relevante. Las inversiones en herramientas SBOM valen la pena multiplicadas en el primer incidente grave.

Tercero: la responsabilidad con el código abierto merece atención estratégica. Cohere AI es un proveedor comercial, Terrarium un proyecto de código abierto con amplio campo de aplicación. CERT/CC (Centro de Coordinación de Respuesta a Emergencias Informáticas) no ha logrado una distribución coordinada de parches. Esto no es inusual, pero obliga a los operadores a asumir su propia responsabilidad. Quien incorpore componentes de código abierto en stacks productivos, debería verificar regularmente el estado del ciclo de vida de cada componente. El análisis profundo sobre la arquitectura estratégica de sandbox ofrece una discusión más extensa sobre este tema.

Cómo encaja el incidente en la imagen de parches del segundo trimestre

CVE-2026-5752 se suma a una serie. Microsoft ASP.NET Core CVE-2026-40372 apareció el mismo fin de semana, la actualización CISA-KEV del 20 de abril trajo ocho vulnerabilidades adicionales. El segundo trimestre de 2026 muestra una frecuencia de incidentes críticos a la que las operaciones de seguridad de 2024 no estaban acostumbradas.

Estructuralmente, esto requiere una arquitectura de respuesta diferente. Quienes en 2024 podían planificar con dos CVE críticas por mes, ahora en 2026 enfrentan de cuatro a seis por semana. La visibilidad de ingeniería de plataforma, las canalizaciones de parches automatizadas y los inventarios basados en SBOM deben convertirse en equipo estándar. Quienes pospongan esto se crearán una fricción creciente que se hará visible en los próximos trimestres.

Para los consejos de administración, el incidente plantea una oportunidad concreta de examen. Una pregunta sobre el estado actual de los parches en la próxima reunión de consejo agudiza el tema para el CISO y el CIO. Una segunda pregunta sobre la madurez del SBOM y la comunicación de incidentes multiinquilino proporciona un buen control de gestión. Quien pueda responder a ambas preguntas en 30 segundos con respuestas concretas, tiene una gobernanza de seguridad funcional. Quienes ofrecen vaguedad, tienen una necesidad de inversión identificable para 2026.

Preguntas frecuentes

¿Es cierto que Terrarium es de Cloudflare?

No. Terrarium es un proyecto de código abierto de Cohere AI. La confusión con Cloudflare Workers ha aparecido en algunos informes secundarios. Quien haya registrado Cloudflare como proveedor en sus propias notas de mitigación, debería corregirlo.

¿Qué opciones de parcheo existen?

Actualmente, CERT/CC no ha alcanzado una distribución de parches coordinada con el proveedor. Las opciones de mitigación recaen en los operadores: bloqueo de IMDS, endurecimiento de Egress, endurecimiento de contenedores, reducción de permisos. Quien observe activamente las actualizaciones de Cohere, debería aplicar inmediatamente la publicación del parche.

¿Qué reglas de detección son útiles?

Alertas SIEM para procesos de contenedores de sandbox, búsquedas EDR en accesos a /etc/passwd, anomalías en conexiones salientes desde contenedores de sandbox. En configuraciones multi-inquilino, además monitoreo de límites entre inquilinos.

¿Cómo se relaciona este error con las vulnerabilidades clásicas de escape de contenedor?

Relacionado, pero diferente. Los escapes clásicos de contenedor afectan al runtime del contenedor en sí. CVE-2026-5752 afecta a la capa de sandbox de JavaScript dentro del contenedor, pero se escala hasta Root y potencialmente a un escape de contenedor. La defensa en profundidad es la respuesta correcta.

¿Qué significa esta vulnerabilidad para los proveedores multi-inquilino?

Especialmente crítica. Un atacante con acceso Root en el contenedor de sandbox puede potencialmente alcanzar datos de otros inquilinos si el aislamiento es insuficiente. Los proveedores multi-inquilino deberían preparar inmediatamente la comunicación con los clientes y realizar una evaluación forense de los últimos 30 días.

¿Cómo se debe gestionar la notificación a las autoridades supervisoras?

Los operadores NIS2 de instalaciones esenciales y especialmente importantes deben evaluar la gravedad y notificar si es necesario. Los operadores DORA en el sector financiero lo clasifican como incidente relacionado con TIC y siguen la ruta de notificación interna. Quien trabaje en sectores regulados debería documentar la evaluación, incluso si no existe obligación de notificación.