Vulnerabilidad en botan de randombit (CVE-2026-32877)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-125 Lectura fuera de límites

Fecha de publicación:

30/03/2026

Última modificación:

01/04/2026

Descripción

Botan es una biblioteca de criptografía C++. Desde la versión 2.3.0 hasta antes de la versión 3.11.0, durante el descifrado SM2, el código que verificaba el valor del código de autenticación (C3) no verificó que el valor codificado tuviera la longitud esperada antes de la comparación. Un texto cifrado no válido puede causar una lectura excesiva de la pila (heap over-read) de hasta 31 bytes, lo que resulta en un fallo o potencialmente en otro comportamiento indefinido. Este problema ha sido parcheado en la versión 3.11.0.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.20 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Bajo
Impacto a la integridad (I): Ninguno
Impacto a la disponibilidad (A): Alto

Puntuación base 3.x

8.20

Gravedad 3.x

ALTA

Referencias a soluciones, herramientas e información

https://github.com/randombit/botan/security/advisories/GHSA-7jj6-4r42-w9h6