Vulnerabilidad en wolfSSL (CVE-2026-2645)

Gravedad CVSS v4.0:

MEDIA

Tipo:

No Disponible / Otro tipo

Fecha de publicación:

19/03/2026

Última modificación:

20/03/2026

Descripción

En wolfSSL 5.8.2 y versiones anteriores, existía una falla lógica en la implementación de la máquina de estados del servidor TLS 1.2. El servidor podría aceptar incorrectamente el mensaje CertificateVerify antes de que se hubiera recibido el mensaje ClientKeyExchange. Este problema afecta a wolfSSL anterior a 5.8.4 (wolfSSL 5.8.2 y versiones anteriores son vulnerables, 5.8.4 no es vulnerable). En 5.8.4, wolfSSL detectaría el problema más tarde en el handshake. 5.9.0 fue endurecido aún más para detectar el problema antes en el handshake.

Impacto

Vector 4.0

CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P CVSS v4.0 Severidad y Métricas:

Puntuación base: 5.50 MEDIA
Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:P

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Passsive
Confidentiality (VC): Ninguno
Integrity (VI): Alto
Availability (VA): Ninguno
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno
Exploit Maturity (E): POC

Puntuación base 4.0

5.50

Gravedad 4.0

MEDIA

Referencias a soluciones, herramientas e información

https://github.com/wolfSSL/wolfssl/pull/9694