Se ha descubierto una vulnerabilidad de severidad alta en productos OpenSSL. Un actor malicioso podría eludir las medidas de seguridad y forzar el uso de algoritmos criptográficos menos seguros durante la negociación de conexiones.
Productos afectados
- OpenSSL: versiones 3.5.0 a 3.5.5.
- OpenSSL: versiones 3.6.0 a 3.6.1.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026-2673: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de selección de un algoritmo menos seguro durante la negociación. Un actor malicioso remoto podría aprovechar un defecto en la lógica de configuración de los servidores TLS 1.3 que utilizan la palabra clave ‘DEFAULT’. Esto provoca que el servidor no envíe una solicitud de reintento para grupos de intercambio de claves más robustos, conformándose con grupos de menor seguridad incluso si ambas partes admiten opciones superiores.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias