Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en Cyberduck (CVE-2014-2845)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
15/11/2017
Última modificación:
20/04/2025

Descripción

Las versiones anteriores a la 4.4.4 de Cyberduck no validan correctamente las cadenas de certificados X.509, lo que permite que atacantes Man-in-the-Middle (MitM) suplanten servidores FTP-SSL mediante un certificado emitido por una Autoridad Certificadora root arbitraria.

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:cyberduck:cyberduck:*:*:*:*:*:*:*:* 4.4.4 (excluyendo)
cpe:2.3:o:microsoft:windows:-:*:*:*:*:*:*:*