Vulnerabilidad en Hotspot Shield (CVE-2025-40710)

Gravedad CVSS v4.0:

BAJA

Tipo:

CWE-74 Neutralización incorrecta de elementos especiales en la salida utilizada por un componente interno (Inyección)

Fecha de publicación:

30/06/2025

Última modificación:

30/06/2025

Descripción

Vulnerabilidad de inyección de encabezado de host (HHI) en el cliente VPN de Hotspot Shield, que puede inducir un comportamiento inesperado al acceder a aplicaciones web de terceros a través del túnel VPN. Si bien estas aplicaciones no presentan esta vulnerabilidad en sí, el uso del túnel, junto con un encabezado de host falsificado, puede provocar que el cliente VPN redirija o reenvíe solicitudes HTTP a servidores distintos a los previstos originalmente, lo que puede tener consecuencias como redirecciones abiertas o la entrega de tráfico a la infraestructura controlada por un atacante. Esto no implica una falla en las aplicaciones objetivo, sino en la forma en que el cliente VPN gestiona internamente los encabezados y solicitudes salientes.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:L/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 2.30 BAJA
Vector: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:N/VI:N/VA:L/SC:N/SI:L/SA:N

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Bajo
Availability (SA): Ninguno

Puntuación base 4.0

2.30

Gravedad 4.0

BAJA

Referencias a soluciones, herramientas e información

https://www.incibe.es/en/incibe-cert/notices/aviso/host-header-injection-hhi-hotspot-shield-vpn-client