Vulnerabilidad en Cyberduck y Mountain Duck (CVE-2025-41256)
Gravedad CVSS v3.1:
ALTA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
25/06/2025
Última modificación:
26/06/2025
Descripción
Cyberduck y Mountain Duck gestionan incorrectamente la fijación de certificados TLS para certificados no confiables (p. ej., autofirmados), ya que la huella digital del certificado se almacena como SHA-1, aunque SHA-1 se considera débil. Este problema afecta a Cyberduck: hasta la versión 9.1.6; Mountain Duck: hasta la versión 4.17.5.
Impacto
Puntuación base 3.x
7.40
Gravedad 3.x
ALTA
Referencias a soluciones, herramientas e información
- https://github.com/iterate-ch/cyberduck/security/advisories/GHSA-688c-vjrc-84rv
- https://github.com/sbaresearch/advisories/tree/public/2025/SBA-ADV-20250325-02_Cyberduck_Mountain_Duck_Weak_Hash
- https://github.com/iterate-ch/cyberduck/security/advisories/GHSA-688c-vjrc-84rv
- https://github.com/sbaresearch/advisories/tree/public/2025/SBA-ADV-20250325-02_Cyberduck_Mountain_Duck_Weak_Hash