Vulnerabilidad en parsec-cloud de Scille (CVE-2025-62514)

Gravedad CVSS v3.1:

ALTA

Tipo:

CWE-327 Uso de algoritmo criptográfico vulnerable o inseguro

Fecha de publicación:

29/01/2026

Última modificación:

02/03/2026

Descripción

Parsec es una aplicación basada en la nube para el intercambio de archivos criptográficamente seguro. En versiones de la rama 3.x anteriores a la 3.6.0, &#39;libparsec_crypto&#39;, un componente de la aplicación Parsec, no verifica los puntos de orden débil de Curve25519 cuando se compila con su backend RustCrypto. En la práctica, esto significa que un atacante en una posición de man-in-the-middle podría proporcionar puntos de orden débil a ambas partes en el intercambio Diffie-Hellman, lo que resultaría en una alta probabilidad de que ambas partes obtengan la misma clave compartida (lo que llevaría a un intercambio exitoso de código SAS, engañando a ambas partes para que piensen que no ha ocurrido ningún MitM) y que también es conocida por el atacante. Tenga en cuenta que solo Parsec web se ve afectado (ya que Parsec desktop utiliza &#39;libparsec_crypto&#39; con el backend libsodium). La versión 3.6.0 de Parsec corrige el problema.

Impacto

Vector 3.x

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L CVSS v3.1 Severidad y Métricas:

Puntuación base: 8.30 ALTA
Vector: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L

Vector de acceso (AV): A través de red
Complejidad de acceso (AC): Bajo
Privilegios Requeridos (PR): Bajo
Interacción del usuario (UI): Ninguno
Alcance (S): Sin modificar
Impacto a la confidencialidad (C): Alto
Impacto a la integridad (I): Alto
Impacto a la disponibilidad (A): Bajo