Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Múltiples vulnerabilidades en OpenSSL

Fecha de publicación 10/06/2026
Identificador
INCIBE-2026-412
Importancia
5 - Crítica
Recursos Afectados

Las siguientes versiones OpenSSL están afectadas:

  • 4.0
  • 3.6
  • 3.5
  • 3.4
  • 3.0
  • 1.1.1
  • 1.0.2

Las versiones que carecen de soporte: 3.1, 3.2 y 3.3 no han sido analizadas y se desconoce si están afectadas por alguna de las vulnerabilidades.

Descripción

OpenSSL ha informado de 18 vulnerabilidades nuevas, 1 de severidad crítica, 10 altas, 3 medias y 4 bajas. En caso de ser explotadas podrían provocar fallos en el proceso, corrupción del montículo o ejecución de código en remoto, entre otras acciones.

Solución

Según la versión que disponga, actualizar el producto a alguna de las siguientes versiones:

  • OpenSSL 4.0: actualizar a OpenSSL 4.0.1
  • OpenSSL 3.6: actualizar a OpenSSL 3.6.3.
  • OpenSSL 3.5: actualizar a OpenSSL 3.5.7.
  • OpenSSL 3.4: actualizar a OpenSSL 3.4.6.
  • OpenSSL 3.0: actualizar a OpenSSL 3.0.21.
  • OpenSSL 1.1.1: actualizar a OpenSSL 1.1.1zh (únicamente para usuarios con soporte premium)
  • OpenSSL 1.0.2 users should upgrade to OpenSSL 1.0.2zq  (únicamente para usuarios con soporte premium)
Detalle

CVE-2026-45447: un mensaje especialmente diseñado y que esté firmado con PKCS#7 o S/MIME podría provocar un uso después de la liberación de memoria durante la verificación de la firma PKCS#7. Un uso después de la liberación podría provocar fallos en el proceso, corrupción del montón o, potencialmente, la ejecución de código en remoto. 

Al procesar un mensaje firmado con PKCS#7 o S/MIME, si el campo SignedData digestAlgorithms está presente como un ASN.1 SET vacío, OpenSSL podría liberar incorrectamente un caller-owned BIO durante PKCS7_verify(). Un uso posterior del BIO por la aplicación que realiza la llamada da lugar a una condición de uso después de la liberación. Habitualmente, esto sucede cuando la aplicación luego llama BIO_free() sobre el BIO pasado originalmente a PKCS7_verify(). Dependiendo del comportamiento de quien ha realizado la asignación y de los patrones de uso del BIO específicos de la aplicación, esto puede provocar un bloqueo u otra corrupción de memoria. En algunos contextos de aplicación, esto podría permitir la ejecución de código en remoto.

CVE
Identificador CVE Severidad Explotación Fabricante
CVE-2026-45447 Crítica No OpenSSL
CVE-2026-34182 Alta No OpenSSL
CVE-2026-34183 Alta No OpenSSL
CVE-2026-35188 Alta No OpenSSL
CVE-2026-42764 Alta No OpenSSL
CVE-2026-45445 Alta No OpenSSL
CVE-2026-7383 Alta No OpenSSL
CVE-2026-9076 Alta No OpenSSL
CVE-2026-34180 Alta No OpenSSL
CVE-2026-34181 Alta No OpenSSL
CVE-2026-42765 Alta No OpenSSL
Listado de referencias
OpenSSL Security Advisory [9th June 2026]
Etiquetas