CVE-2021-43666

CVSS 7.5 HIGHEPSS 2.1%CWE-130

En resumen

Un fallo en la biblioteca mbed TLS permite que un atacante bloquee el sistema proporcionando una contraseña vacía a la función de derivación de contraseña. Esto puede interrumpir servicios que dependen de esta biblioteca para operaciones de cifrado.

Detalle técnico

Un error de desreferencia de puntero nulo o manejo inadecuado de búfer en la función mbedtls_pkcs12_derivation ocurre al procesar contraseñas de longitud cero, permitiendo que un atacante no autenticado cause una denegación de servicio. La vulnerabilidad afecta a mbed TLS versión 3.0.0 y anteriores; la explotación requiere invocar la función vulnerable con un parámetro de contraseña vacía.

Resumen generado y traducido por IA a partir de la descripción oficial.

A Denial of Service vulnerability exists in mbed TLS 3.0.0 and earlier in the mbedtls_pkcs12_derivation function when an input password's length is 0.

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

Productos afectados

n/a · n/a

¿Quieres saber si tu infraestructura está expuesta a esto?

Hablar con TrueHacking →

Referencias

https://github.com/ARMmbed/mbedtls/issues/5136 https://lists.debian.org/debian-lts-announce/2022/12/msg00036.html https://lists.debian.org/debian-lts-announce/2025/06/msg00034.html