Vulnerabilidad en Lego (CVE-2025-54799)
Gravedad CVSS v4.0:
BAJA
Tipo:
CWE-319
Transmisión de información sensible en texto claro
Fecha de publicación:
07/08/2025
Última modificación:
07/08/2025
Descripción
Cliente Let's Encrypt y librería ACME escritos en Go (Lego). En las versiones 4.25.1 y anteriores, el paquete github.com/go-acme/lego/v4/acme/api (y, por lo tanto, la librería lego y la CLI de lego) no exigen HTTPS al comunicarse con las CA como cliente ACME. A diferencia del desafío http-01, que resuelve un desafío ACME mediante HTTP sin cifrar, el protocolo ACME requiere HTTPS cuando un cliente se comunica con la CA para realizar funciones ACME. Sin embargo, la librería no exige HTTPS ni en la URL de descubrimiento original (configurada por el usuario de la librería) ni en las direcciones posteriores devueltas por las CA en los objetos de directorio y pedido. Si los usuarios introducen URL HTTP o las CA configuran incorrectamente los endpoints, las operaciones del protocolo se realizan mediante HTTP en lugar de HTTPS. Esto compromete la privacidad al exponer detalles de solicitud/respuesta, como los identificadores de cuenta y solicitud, a atacantes de red. Esto se solucionó en la versión 4.25.2.