Vulnerabilidad en barebox (CVE-2026-33243)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-345
Verificación insuficiente de autenticidad de los datos
Fecha de publicación:
20/03/2026
Última modificación:
26/03/2026
Descripción
barebox es un gestor de arranque. En barebox desde la versión 2016.03.0 hasta antes de la versión 2025.09.3 y desde la versión 2025.10.0 hasta antes de la versión 2026.03.1, al crear un FIT, mkimage(1) establece la propiedad hashed-nodes del nodo de firma FIT para listar qué nodos del FIT fueron hasheados como parte del proceso de firma, ya que estos deberán ser verificados posteriormente por el gestor de arranque. Sin embargo, hashed-nodes en sí mismo no forma parte del hash y por lo tanto puede ser modificado por un atacante para engañar al gestor de arranque para que arranque imágenes diferentes a las que han sido verificadas. Este problema ha sido parcheado en las versiones de barebox 2025.09.3 y 2026.03.1.
Impacto
Puntuación base 3.x
8.20
Gravedad 3.x
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:denx:u-boot:*:*:*:*:*:*:*:* | 2013.07 (incluyendo) | 2026.04 (excluyendo) |
| cpe:2.3:a:denx:u-boot:2026.04:rc1:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2026.04:rc2:*:*:*:*:*:* | ||
| cpe:2.3:a:denx:u-boot:2026.04:rc3:*:*:*:*:*:* | ||
| cpe:2.3:a:pengutronix:barebox:*:*:*:*:*:*:*:* | 2016.03.0 (incluyendo) | 2025.09.3 (excluyendo) |
| cpe:2.3:a:pengutronix:barebox:*:*:*:*:*:*:*:* | 2025.10.0 (incluyendo) | 2026.03.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página