Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Vulnerabilidad en el certificado TLS del servidor en WeeChat (CVE-2022-28352)

Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-295 Validación incorrecta de certificados
Fecha de publicación:
02/04/2022
Última modificación:
13/04/2022

Descripción

WeeChat (también se conoce como Wee Enhanced Environment for Chat) versiones 3.2 a 3.4 anteriores a 3.4.1 no verifica correctamente el certificado TLS del servidor, después de que sean cambiadas determinadas opciones de GnuTLS, lo que permite a atacantes d tipo man-in-the-middle falsificar un servidor de chat TLS por medio de un certificado arbitrario. NOTA: esto sólo afecta a las situaciones en las que weechat.network.gnutls_ca_system o weechat.network.gnutls_ca_user son cambiadas sin reiniciar WeeChat

Productos y versiones vulnerables

CPE Desde Hasta
cpe:2.3:a:weechat:weechat:*:*:*:*:*:*:*:* 3.2 (incluyendo) 3.4.1 (excluyendo)