Vulnerabilidad en wolfSSL (CVE-2025-7395)

Gravedad CVSS v4.0:

CRÍTICA

Tipo:

CWE-295 Validación incorrecta de certificados

Fecha de publicación:

18/07/2025

Última modificación:

22/07/2025

Descripción

Un error de verificación de certificado en wolfSSL al compilar con las opciones WOLFSSL_SYS_CA_CERTS y WOLFSSL_APPLE_NATIVE_CERT_VALIDATION da como resultado que el cliente wolfSSL no verifique correctamente el nombre de dominio del certificado del servidor, lo que permite que se acepte cualquier certificado emitido por una CA confiable independientemente del nombre de host.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:D/U:Red CVSS v4.0 Severidad y Métricas:

Puntuación base: 9.20 CRÍTICA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N/AU:Y/V:D/U:Red

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Ninguno
Availability (SA): Ninguno
Automatable (AU): Si
Value Density (V): Diffuse
Provider Urgency (U): Rojo

Puntuación base 4.0

9.20

Gravedad 4.0

CRÍTICA

Referencias a soluciones, herramientas e información

http://github.com/wolfssl/wolfssl.git