Vulnerabilidad en Bouncy Castle (CVE-2023-33202)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-400
Consumo de recursos no controlado (Agotamiento de recursos)
Fecha de publicación:
23/11/2023
Última modificación:
18/08/2025
Descripción
Bouncy Castle para Java anterior a 1.73 contiene un posible problema de denegación de servicio (DoS) dentro de la clase Bouncy Castle org.bouncycastle.openssl.PEMParser. Esta clase analiza secuencias codificadas OpenSSL PEM que contienen certificados X.509, claves codificadas PKCS8 y objetos PKCS7. El análisis de un archivo que ha creado datos ASN.1 a través de PEMParser provoca un OutOfMemoryError, que puede permitir un ataque de denegación de servicio.
Impacto
Puntuación base 3.x
5.50
Gravedad 3.x
MEDIA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:bouncycastle:bouncy_castle_for_java:*:*:*:*:*:*:*:* | 1.73 (excluyendo) | |
| cpe:2.3:a:bouncycastle:fips_java_api:*:*:*:*:*:*:*:* | 1.0.2.4 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://bouncycastle.org
- https://github.com/bcgit/bc-java/wiki/CVE%E2%80%902023%E2%80%9033202
- https://github.com/bcgit/bc-java/wiki/CVE-2023-33202
- https://security.netapp.com/advisory/ntap-20240125-0001/
- https://bouncycastle.org
- https://github.com/bcgit/bc-java/wiki/CVE-2023-33202
- https://security.netapp.com/advisory/ntap-20240125-0001/