Omisión de autenticación de firma en el certificado Step-CA de smallstep
- smallstep Step-CA 0.28.4;
- smallstep Step-CA v0.28.3.
Stephen Kubik, del Grupo de Iniciativas de Seguridad Avanzada de Cisco (ASIG), ha informado sobre una vulnerabilidad de severidad crítica que podría permitir a un atacante omitir las comprobaciones de autorización.
Actualizar a la versión v0.29.0 o más reciente.
CVE-2025-44005: vulnerabilidad debida a que los tokens que especifican un aprovisionador ACME son aceptados por endpoints no ACME. Por ejemplo, el /signendpoint utiliza el método de aprovisionadores AuthorizeSign para validar el token proporcionado. Un atacante puede eludir las comprobaciones de autorización y obligar a un aprovisionador ACME o SCEP de Step CA a crear certificados sin completar determinadas comprobaciones de autorización de protocolo.
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.