Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en ESPHome (CVE-2026-23833)

Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-190 Desbordamiento o ajuste de enteros
Fecha de publicación:
19/01/2026
Última modificación:
04/03/2026

Descripción

ESPHome es un sistema para controlar microcontroladores remotamente a través de sistemas de automatización del hogar. En las versiones 2025.9.0 a 2025.12.6, un desbordamiento de entero en el decodificador protobuf del componente API permite ataques de denegación de servicio cuando no se utiliza el cifrado de API. La comprobación de límites `ptr + field_length > end` en `components/api/proto.cpp` puede desbordarse cuando un cliente malicioso envía un valor `field_length` grande. Esto afecta a todas las plataformas de dispositivos ESPHome (ESP32, ESP8266, RP2040, LibreTiny). El desbordamiento omite la comprobación fuera de límites, lo que provoca que el dispositivo lea memoria no válida y falle. Cuando se utiliza el protocolo API de texto plano, este ataque puede realizarse sin autenticación. Cuando el cifrado de ruido está habilitado, se requiere conocimiento de la clave de cifrado. Los usuarios deben actualizar a ESPHome 2025.12.7 o posterior para recibir un parche, habilitar el cifrado de API con una clave única por dispositivo y seguir las Mejores Prácticas de Seguridad.

Impacto

Vector 4.0
CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:U CVSS v4.0 Severidad y Métricas:

Puntuación base: 1.70 BAJA
Vector: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N/E:U

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Present
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Bajo
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): Unreported

Puntuación base 4.0
1.70
Gravedad 4.0
BAJA
Vector 3.x
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 7.50 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Ninguno
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x
7.50
Gravedad 3.x
ALTA

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:esphome:esphome:*:*:*:*:*:*:*:* 2025.9.0 (incluyendo) 2025.12.7 (excluyendo)

Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página


Referencias a soluciones, herramientas e información