Vulnerabilidad en Serverpod (CVE-2024-29887)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
27/03/2024
Última modificación:
19/12/2025
Descripción
Serverpod es una aplicación y un servidor web, creado para el ecosistema Flutter y Dart. Este error omitió la validación de los certificados TSL en todos los clientes HTTP que no son web en el paquete `serverpod_client`. Haciéndolos susceptibles a un ataque de intermediario contra el tráfico cifrado entre el dispositivo cliente y el servidor. Un atacante tendría que poder interceptar el tráfico y secuestrar la conexión al servidor para poder utilizar esta vulnerabilidad. La actualización a la versión `1.2.6` resuelve este problema.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:serverpod:serverpod:*:*:*:*:*:*:*:* | 1.2.6 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- https://github.com/serverpod/serverpod/commit/d55bf8d12967fc7955a875cb3e0f9693bd6d2c71
- https://github.com/serverpod/serverpod/security/advisories/GHSA-h6x7-r5rg-x5fw
- https://github.com/serverpod/serverpod/commit/d55bf8d12967fc7955a875cb3e0f9693bd6d2c71
- https://github.com/serverpod/serverpod/security/advisories/GHSA-h6x7-r5rg-x5fw