Se ha descubierto una vulnerabilidad de severidad Crítica en productos OpenSSL. Un actor malicioso podría provocar la ejecución de código arbitrario de forma remota o una denegación de servicio en los sistemas afectados.
Productos afectados
- OpenSSL versiones 3.6, 3.5, 3.4, 3.3 y 3.0.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2025–15467: con una puntuación de 9.8 en CVSS v3.0. Existe una vulnerabilidad de desbordamiento de búfer basado en pila (stack buffer overflow) al procesar estructuras CMS AuthEnvelopedData que utilizan cifrados AEAD (como AES-GCM). Un actor malicioso remoto podría enviar un mensaje CMS manipulado con un Vector de Inicialización (IV) de tamaño excesivo. Debido a que la vulnerabilidad ocurre antes de la autenticación o verificación de etiquetas, no se requiere material de clave válido para su explotación, lo que podría permitir la ejecución de código arbitrario o el cierre inesperado de la aplicación.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias