CVE-2026-27017
Gravedad CVSS v4.0:
BAJA
Tipo:
No Disponible / Otro tipo
Fecha de publicación:
20/02/2026
Última modificación:
20/02/2026
Descripción
uTLS es un 'fork' de crypto/tls, creado para personalizar ClientHello para que resista la identificación de huellas digitales mientras se sigue utilizando para el protocolo de enlace. Las versiones 1.6.0 a 1.8.0 contienen una falta de coincidencia de huella digital con Chrome cuando se usa GREASE ECH, relacionada con la selección de la suite de cifrado. Cuando Chrome selecciona la suite de cifrado preferida en el ClientHello externo y para ECH, lo hace de forma consistente basándose en el soporte de hardware; por ejemplo, si prefiere AES para la suite de cifrado externa, también usa AES para ECH. Sin embargo, el 'loro' de Chrome en uTLS codifica de forma rígida la preferencia de AES para las suites de cifrado externas, pero selecciona la suite de cifrado ECH aleatoriamente entre AES y ChaCha20. Esto hace que haya un 50% de probabilidad de que se seleccione ChaCha20 para ECH mientras se usa AES para la suite de cifrado externa, una combinación imposible en Chrome. Este problema solo afecta a GREASE ECH; en ECH real, Chrome selecciona la primera suite de cifrado válida cuando se prefiere AES, lo cual uTLS maneja correctamente. Este problema ha sido solucionado en la versión 1.8.1.
Impacto
Puntuación base 4.0
2.30
Gravedad 4.0
BAJA