Vulnerabilidad en el certificado TLS del servidor en WeeChat (CVE-2022-28352)
Gravedad CVSS v3.1:
MEDIA
Tipo:
CWE-295
Validación incorrecta de certificados
Fecha de publicación:
02/04/2022
Última modificación:
13/04/2022
Descripción
WeeChat (también se conoce como Wee Enhanced Environment for Chat) versiones 3.2 a 3.4 anteriores a 3.4.1 no verifica correctamente el certificado TLS del servidor, después de que sean cambiadas determinadas opciones de GnuTLS, lo que permite a atacantes d tipo man-in-the-middle falsificar un servidor de chat TLS por medio de un certificado arbitrario. NOTA: esto sólo afecta a las situaciones en las que weechat.network.gnutls_ca_system o weechat.network.gnutls_ca_user son cambiadas sin reiniciar WeeChat
Impacto
Puntuación base 3.x
4.80
Gravedad 3.x
MEDIA
Puntuación base 2.0
4.00
Gravedad 2.0
MEDIA
Productos y versiones vulnerables
CPE | Desde | Hasta |
---|---|---|
cpe:2.3:a:weechat:weechat:*:*:*:*:*:*:*:* | 3.2 (incluyendo) | 3.4.1 (excluyendo) |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página