Vulnerabilidad en wolfSSL (CVE-2025-7396)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

18/07/2025

Última modificación:

22/07/2025

Descripción

En la versión 5.8.2 de wolfSSL, la compatibilidad con el cegamiento está activada por defecto para Curve25519 en las compilaciones aplicables. La opción de configuración de cegamiento solo está disponible para la implementación básica de Curve25519 en C. No es necesaria ni está disponible con compilaciones de ensamblaje ARM, compilaciones de ensamblaje Intel ni con la función pequeña de Curve25519. Si bien el ataque de canal lateral para extraer una clave privada sería muy difícil de ejecutar en la práctica, habilitar el cegamiento proporciona una capa adicional de protección para dispositivos que podrían ser más susceptibles al acceso físico o a la observación de canal lateral.

Impacto

Vector 4.0

CVSS:4.0/AV:P/AC:H/AT:P/PR:L/UI:A/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.60 MEDIA
Vector: CVSS:4.0/AV:P/AC:H/AT:P/PR:L/UI:A/VC:H/VI:N/VA:N/SC:H/SI:N/SA:N

Vector de acceso (AV): Físico
Complejidad de acceso (AC): Alto
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Activo
Confidentiality (VC): Alto
Integrity (VI): Ninguno
Availability (VA): Ninguno
Confidentiality (SC): Alto
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0

5.60

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/wolfSSL/wolfssl/blob/master/ChangeLog.md#wolfssl-release-582-july-17-2025