Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidad en ts-asn1-der (CVE-2025-32029)

Gravedad CVSS v4.0:
MEDIA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
07/04/2025
Última modificación:
08/04/2025

Descripción

ts-asn1-der es una colección de clases de utilidad para codificar datos ASN.1 según la regla DER. Una codificación DER incorrecta de números puede provocar la denegación de servicio para valores absolutos en el rango 2**31 - 2**32 - 1. La aritmética de numBitLen no tuvo en cuenta que los valores en este rango podrían generar un resultado negativo al aplicar el operador >>, lo que genera un bucle infinito. El problema se solucionó en la versión 1.0.4. Si no es posible actualizar, el problema se puede mitigar validando las entradas de Asn1Integer para garantizar que no sean menores que -2**31 + 1 ni mayores que 2**31 - 1.

Impacto

Vector 4.0
CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N CVSS v4.0 Severidad y Métricas:

Puntuación base: 6.90 MEDIA
Vector: CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Vector de acceso (AV): Local
Complejidad de acceso (AC): Bajo
Attack Requirements (AT): Ninguno
Privilegios Requeridos (PR): Ninguno
Interacción del usuario (UI): Ninguno
Confidentiality (VC): Ninguno
Integrity (VI): Ninguno
Availability (VA): Alto
Confidentiality (SC): Ninguno
Integrity (SI): Ninguno
Availability (SA): Ninguno

Puntuación base 4.0
6.90
Gravedad 4.0
MEDIA

Referencias a soluciones, herramientas e información