CVE en Pterodactyl 69198 69199 21696 impacto y mitigacion
Si tienes Pterodactyl en producción, estas 3 vulnerabilidades importan por una razón simple: no son “teóricas”, son de las que terminan en CPU/RAM/disk y red sufriendo… y tu soporte también.
En este post cubrimos CVE-2025-69198 (Panel) y CVE-2025-69199 + CVE-2026-21696 (Wings): qué hacen, cómo te pegan en operación real y qué acciones tomar.
Qué CVEs son y a qué parte de Pterodactyl afectan
CVE-2025-69198 (Panel): permite crear más recursos (bases de datos, allocations, backups) de los permitidos mediante solicitudes concurrentes (race condition).
CVE-2025-69199 (Wings): WebSockets sin rate limit/throttling → posibilidad de DoS por conexiones masivas y mensajes grandes.
CVE-2026-21696 (Wings): bug con límite de parámetros de SQLite al borrar activity logs → reprocesamiento infinito, spam de activity hacia el Panel y riesgo de llenar el disco de la DB.
CVE-2025-69198 en Pterodactyl Panel
Qué pasa exactamente
Pterodactyl aplica límites por servidor (ej. cuántas DB, backups, allocations puede crear). El problema es que, en versiones previas, un usuario puede mandar muchas solicitudes al mismo tiempo y “ganar la carrera”: todas validan como si aún hubiera cupo y terminan creando más recursos de los asignados.
Impacto real en un hosting
Esto no es “hackeo hollywoodense”, es abuso de recursos:
Se pueden agotar allocations del nodo.
Se puede llenar espacio de backups más rápido que lo permitido.
Se puede negar servicio indirectamente a otros usuarios (porque te quedas sin recursos compartidos).
Solución
La mitigación real es actualizar el Panel a 1.12.0 o superior, donde se corrige este comportamiento.
CVE-2025-69199 en Wings
Qué pasa exactamente
¡20% de descuento en planes VPS!
Obtén un 20% de descuento en todos nuestros planes VPS.
Obtener 20% dtoEn Wings, los WebSockets carecían de rate limiting y también de límites prácticos al tamaño total de mensajes. Un atacante con pocos privilegios puede abrir muchísimas conexiones, pedir datos y/o mandar cargas grandes para provocar alto uso de red, CPU y memoria.
Impacto real en producción
DoS del nodo: picos de CPU/RAM y red saturada.
Panel “lento” o “inestable” desde el punto de vista del usuario, aunque el Panel esté bien (porque el dolor está en Wings).
Solución
Wings 1.12.0 parchea el issue (las versiones afectadas son < 1.12.0).
CVE-2026-21696 en Wings
Qué pasa exactamente
Wings registra actividad en una SQLite local y luego la manda al Panel. Después intenta borrar esos registros… pero si intenta borrar más de 32766 entradas en una sola query (límite de parámetros de SQLite), falla y no borra nada. Resultado: en cada corrida del cron, Wings vuelve a procesar y volver a mandar los mismos logs, creciendo con el tiempo.
Impacto real
Flood de activity records hacia el Panel.
Crecimiento constante hasta que la DB del Panel se queda sin espacio (sí, disco muerto = panel muerto).
Versiones afectadas y fix
Afecta >= 1.7.0 y < 1.12.0.
Parcheado en 1.12.0.
Qué hacer si administras hosting o nodos
Checklist práctico, cero drama:
Actualiza Panel a 1.12.0+ para cubrir CVE-2025-69198.
Actualiza Wings a 1.12.0+ para cubrir CVE-2025-69199 y CVE-2026-21696.
Monitorea señales de abuso:
Spikes de conexiones WebSocket / tráfico.
Crecimiento raro en la tabla de activity del Panel.
Disco de DB creciendo más rápido de lo normal.
Limita exposición: asegúrate de que Wings no quede “demasiado abierto” a internet sin necesidad (redes, firewall, reverse proxy si aplica).
Conclusión
Estas CVEs tienen un tema en común: consumo y estabilidad. CVE-2025-69198 te deja romper límites de recursos en el Panel, CVE-2025-69199 puede tumbar un nodo por WebSockets, y CVE-2026-21696 puede hacer que tu Panel se ahogue en activity logs hasta reventar el disco.
La salida es clara: Panel 1.12.0+ y Wings 1.12.0+, y a dormir más tranquilo.
