Vulnerabilidad en Meshtastic (CVE-2025-52464)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-331
Entropía insuficiente
Fecha de publicación:
19/06/2025
Última modificación:
23/06/2025
Descripción
Meshtastic es una solución de red en malla de código abierto. En versiones desde la 2.5.0 hasta la 2.6.11, el proceso de flasheo de varios proveedores de hardware generaba claves públicas y privadas duplicadas. Además, Meshtastic no inicializaba correctamente el pool de aleatoriedad interno en algunas plataformas, lo que podía provocar la generación de claves de baja entropía. Cuando los usuarios con un par de claves afectado enviaban mensajes directos, estos podían ser capturados y descifrados por un atacante que hubiera compilado la lista de claves comprometidas. Este problema se ha corregido en la versión 2.6.11, donde la generación de claves se retrasa hasta la primera configuración de la región LoRa, además de advertir a los usuarios cuando se detecta una clave comprometida. La versión 2.6.12 amplía esta corrección borrando automáticamente las claves comprometidas conocidas. Una solución alternativa a esta vulnerabilidad consiste en que los usuarios realicen un borrado completo del dispositivo para eliminar las claves clonadas por el proveedor.
Impacto
Puntuación base 4.0
9.50
Gravedad 4.0
CRÍTICA
Referencias a soluciones, herramientas e información
- https://github.com/meshtastic/firmware/commit/4bf2dd04aeeccc4ba20c79bcaad7a572aabdecad
- https://github.com/meshtastic/firmware/commit/55b2bbf93756fc7bbbfdbc7cbf29f88e6b637f22
- https://github.com/meshtastic/firmware/commit/e5f6804421ac4b76dd31980250a505dba24c2aa6
- https://github.com/meshtastic/firmware/commit/e623c70bd0c2ab9db9baf04888e19d1428310bb9
- https://github.com/meshtastic/firmware/security/advisories/GHSA-gq7v-jr8c-mfr7