Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Condición de carrera en Eclipse Jersey

Fecha de publicación 19/11/2025
Identificador
INICBE-2025-0647
Importancia
5 - Crítica
Recursos Afectados

Eclipse Jersey versiones:

  • 2.45;
  • desde la 3.0.0-M1 hasta la 3.0.16;
  • desde la 3.1.0-M1 hasta la 3.1.9;
  • 4.0.0-M1.
Descripción

Dimitri Tenenbaum ha descubierto una vulnerabilidad de severidad crítica que podría hacer que las configuraciones SSL críticas sean ignoradas.

Solución

Actualizar a la versión:

  • 2.46;
  • 3.0.17;
  • 3.1.10;
  • 4.0.0-M2.
Detalle

El producto tiene una vulnerabilidad de condición de carrera que puede provocar que se ignoren ciertas configuraciones SSL críticas, como autenticación mutua, almacenes de claves/confianza personalizados y otros ajustes de seguridad. Este problema, en circunstancias normales, puede derivar en una excepción, en concreto en una SSLHandhakeException, pero en ciertas condiciones, puede provocar una confianza no autorizada en servidores inseguros.

Se ha asignado el identificador CVE-2025-12383 a esta vulnerabilidad.

CVE
Explotación
No
Nuevo Fabricante
Eclipse Jersey
Identificador CVE
CVE-2025-12383
Severidad
Crítica
Listado de referencias
GitHub - Eclipse Jersey has a Race Condition
Eclipse Foundation - [Eclipse Jersey] Race Condition allows Bypass of Trust Restrictions
Etiquetas