Validación incorrecta de certificados OCSP en TheGreenBow VPN Client Windows Enterprise
TheGreenBow VPN Client Windows Enterprise : versión 7.5 y 7.6.
INCIBE ha coordinado la publicación de una vulnerabilidad de severidad alta que afecta a TheGreenBow VPN Client Windows Enterprise, un software de cliente de Red Privada Virtual (VPN) certificado para el sistema operativo Windows Enterprise.
A esta vulnerabilidad se le ha asignado el siguiente código, puntuación base CVSS v4.0, vector del CVSS y el tipo de vulnerabilidad CWE:
- CVE-2025-11955: CVSS v4.0: 8.2 | CVSS AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N | CWE-299
La función que era vulnerable se ha eliminado en la siguiente versión menor (versión 7.7). Se reintroducirá correctamente en la siguiente versión mayor.
Para verificar la revocación de certificados, se recomienda utilizar la función de verificación CRL de los clientes VPN.
CVE-2025-11955: vulnerabilidad de validación incorrecta de certificados OCSP en TheGreenBow VPN, en sus versiones 7.5 y 7.6. Durante el paso de autenticación IKEv2, el cliente VPN con OCSP habilitado establece el túnel incluso si no recibe una respuesta OCSP o si la firma de la respuesta OCSP no es válida.
