Vulnerabilidad en Quiche de Cloudflare (CVE-2025-4820)

Gravedad CVSS v3.1:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

18/06/2025

Última modificación:

23/06/2025

Descripción

Se descubrió que Quiche de Cloudflare era vulnerable a un crecimiento incorrecto de la ventana de congestión, lo que podría provocar que enviara datos a una velocidad superior a la que la ruta realmente admite. Un atacante remoto no autenticado puede explotar esta vulnerabilidad completando primero un protocolo de enlace e iniciando una transferencia de datos controlada por congestión hacia sí mismo. Posteriormente, podría manipular el estado de control de congestión de la víctima enviando tramas ACK, lo que implica un ataque ACK oportunista (véase RFC 9000, sección 21.4). La víctima podría aumentar la ventana de congestión más allá de lo esperado y permitir más bytes en tránsito de los que la ruta realmente admite. La versión 0.24.4 de Quiche es la más reciente que corrige este problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 5.30 MEDIA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Bajo

Puntuación base 3.x

5.30

Gravedad 3.x

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/cloudflare/quiche/security/advisories/GHSA-2v9p-3p3h-w56j