Especialistas en pentest online revelaron el hallazgo de tres vulnerabilidades en Wireshark, el popular analizador de protocolos utilizado para solucionar problemas en redes de comunicaciones. Acorde al reporte, las fallas podrían generar ataques de denegación de servicio.
A continuación se presentan breves descripciones de las fallas reportadas, además de sus respectivas claves de identificación y puntaje según el Common Vulnerability Scoring System (CVSS).
CVE-2020-25863: Una validación insuficiente de las entradas proporcionada por el usuario dentro del disector MIME Multipart permitiría a los actores de amenazas enviar una entrada especialmente diseñada para realizar un ataque de denegación de servicio (DoS).
La vulnerabilidad recibió un puntaje de 6.5/10, mencionan los expertos en pentest online.
CVE-2020-25862: Esta falla existe debido a la insuficiente validación de las entradas proporcionadas por los usuarios en el disector TCP de Wireshark, lo que permitiría a los hackers maliciosos remotos pasar una entrada especialmente diseñada a una versión vulnerable de la aplicación y desplegar un ataque DoS.
Según el reporte, esta falla recibió un puntaje de 6.5/10.
CVE-2020-25866: Esta falla existe debido a la inadecuada validación de las entradas proporcionadas por los usuarios en el disector BLIP de la aplicación afectada.
Un actor de amenazas remoto podría pasar una entrada especialmente diseñada para desplegar un ataque DoS, mencionan los expertos en pentest online.
A continuación se muestran las versiones de Wireshark afectadas por las fallas: 2.6.0, 2.6.1, 2.6.2, 2.6.3, 2.6.4, 2.6.5, 2.6.6, 2.6.7, 2.6.8, 2.6.9, 2.6.10, 2.6.11, 2.6.12, 2.6.13, 2.6.14, 2.6.15, 2.6.16, 2.6.17, 2.6.18, 2.6.19, 3.0.0, 3.0.1, 3.0.2, 3.0.3, 3.0.4, 3.0.5, 3.0.6, 3.0.7, 3.0.8, 3.0.9, 3.0.10, 3.0.11, 3.0.12, 3.0.13, 3.2.0, 3.2.1, 3.2.2, 3.2.3, 3.2.4, 3.2.5, 3.2.6.
Las fallas pueden ser explotadas por actores de amenazas no autenticados y, si bien no se han detectado intentos de explotación activa, los expertos recomiendan instalar los parches de seguridad a la brevedad.