Vulnerabilidad en Hydra (CVE-2025-54864)

Gravedad CVSS v4.0:

MEDIA

Tipo:

CWE-306 Ausencia de autenticación para una función crítica

Fecha de publicación:

12/08/2025

Última modificación:

22/09/2025

Descripción

Hydra es un servicio de integración continua para proyectos basados en Nix. Antes del commit f7bda02, la forja correspondiente invocaba /api/push-github y /api/push-gitea sin autenticación HTTP básica. Sin embargo, ambas forjas sí incluyen firma HMAC con una clave secreta. Activar una evaluación puede ser muy exigente para la infraestructura cuando se realizan evaluaciones extensas, lo que puede generar ataques de denegación de servicio en el host que ejecuta el evaluador. Este problema se ha corregido con el commit f7bda02. Una solución alternativa consiste en bloquear /api/push-github y /api/push-gitea mediante un proxy inverso.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

6.90

Gravedad 4.0

MEDIA

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto