{"id":11241,"date":"2026-01-28T18:23:13","date_gmt":"2026-01-29T00:23:13","guid":{"rendered":"https:\/\/beaconlab.us\/?post_type=publicacion&p=11241"},"modified":"2026-01-28T18:23:26","modified_gmt":"2026-01-29T00:23:26","slug":"alerta-2026-11-vulnerabilidad-openssl","status":"publish","type":"publicacion","link":"https:\/\/beaconlab.us\/es\/publicacion\/alerta-2026-11-vulnerabilidad-openssl\/","title":{"rendered":"Alerta 2026-11 Vulnerabilidad OpenSSL"},"content":{"rendered":"\n

Producto(s) afectado(s):<\/h2>\n\n\n\n

\u2022 OpenSSL versions\u00a03.6, 3.5, 3.4, 3.3, 3.0\u00a0<\/p>\n\n\n\n

Descripci\u00f3n<\/h2>\n\n\n\n

Una vulnerabilidad de alta criticidad catalogada como CVE-2025-15467, mediante un desbordamiento del b\u00fafer en la pila podr\u00eda provocar un DoS o ejecuci\u00f3n remota de c\u00f3digo en determinadas condiciones. <\/p>\n\n\n\n

El error reside en la forma en que OpenSSL procesa mensajes espec\u00edficos de la Sintaxis de Mensajes Criptogr\u00e1ficos (CMS), particularmente aquellos que utilizan la estructura AuthEnvelopedData con algoritmos de cifrado AEAD (como AES-GCM). <\/p>\n\n\n\n

Al analizar estos mensajes, OpenSSL extrae un dato llamado Vector de Inicializaci\u00f3n (IV)<\/strong> y lo copia en un espacio de memoria de tama\u00f1o fijo sin verificar si el dato es demasiado grande para dicho espacio. Un atacante puede enviar un mensaje dise\u00f1ado maliciosamente con un IV sobredimensionado, provocando una escritura fuera de los l\u00edmites de la memoria. <\/p>\n\n\n\n

Soluci\u00f3n<\/h2>\n\n\n\n

Los usuarios afectados deben actualizar a las siguientes versiones: <\/p>\n\n\n\n