Vulnerabilidades críticas en OpenSSL 2026
Vulnerabilidad - 6/02
Introducción
CVE-2025-15467 es una vulnerabilidad crítica que aprovecha un fallo clásico de programación en OpenSSL. Su capacidad de ser desencadenada sin autenticación y antes de cualquier verificación criptográfica la convierte en un riesgo alto para cualquier organización que procese certificados, correos cifrados u otros datos CMS.
La falla es considerada de alto riesgo porque se trata de un desbordamiento de búfer en la pila que puede ocurrir antes de cualquier proceso de autenticación o verificación criptográfica cuando se analizan mensajes CMS/PKCS#7 con cifrados AEAD como AES-GCM. De esta manera, un atacante remoto y no autenticado podría desencadenar el problema enviando datos sin necesidad de claves válidas.
Este tipo de vulnerabilidad permite desde denegaciones de servicio (DoS) hasta la posibilidad de ejecución remota de código (RCE), dependiendo de las mitigaciones del sistema afectado.
Análisis
CVE-2025-15467 - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H - 9,8
CVE-2025-15467 ocurre en el código que procesa ciertos mensajes cifrados cuando el software intenta descifrarlos o analizar su estructura. Cuando OpenSSL recibe un mensaje con contenido malformado, que incluye ciertos parámetros cifrados (usando AEAD como AES‑GCM), copia información como si confiara en su tamaño. Si ese tamaño no es el esperado, el programa escribe datos fuera de los límites de la memoria asignada. Como consecuencia, este error puede hacer que la aplicación se bloquee, causando una DoS, o que pueda ejecutarse el código malicioso remotamente si la memoria corrupta se manipula de manera precisa.
La vulnerabilidad se considera crítica porque se ejecuta antes de validar nada, por lo que el atacante no necesita claves válidas ni autenticarse. Además, la explotación puede hacerse de forma remota desde cualquier lugar en la red si el software vulnerable está escuchando y procesando datos externos.
Versiones afectadas
- OpenSSL 3.6.0 y anteriores
- OpenSSL 3.5.0 - 3.5.4
- OpenSSL 3.4.0 - 3.4.3
- OpenSSL 3.3.0 - 3.3.5
- OpenSSL 3.0.0 - 3.0.18
OpenSSL 1.1.1 y 1.0.2 no están afectadas. Los módulos FIPS correspondientes tampoco están afectados, porque la implementación CMS está fuera del ámbito FIPS.
Recomendaciones
- Aplicar las versiones parcheadas
- Identificar dependencias vinculadas
Workarounds
No hay workarounds para esta vulnerabilidad.