Plataforma
python
Componente
wolfssl
Corregido en
5.8.3
5.8.4.post0
La vulnerabilidad CVE-2025-15346 afecta al paquete Python wolfssl-py, específicamente en el manejo de la opción verifymode = CERTREQUIRED. Esta falla permite a los atacantes eludir la autenticación mutua TLS (mTLS) al omitir la presentación de un certificado de cliente durante el handshake TLS. La vulnerabilidad se encuentra presente en versiones anteriores o iguales a 5.8.2.post0, y se ha solucionado en la versión 5.8.4.post0.
El impacto principal de esta vulnerabilidad radica en la posibilidad de eludir la autenticación mTLS. En entornos donde la autenticación del cliente es crucial para la seguridad, como en la comunicación entre microservicios o en el acceso a recursos sensibles, esta omisión puede permitir a atacantes no autorizados acceder a sistemas y datos. Un atacante podría interceptar el tráfico, presentar un certificado falso o simplemente omitir el certificado por completo, obteniendo acceso sin la debida verificación. Esto podría resultar en la exposición de información confidencial, la modificación de datos o incluso el control total del sistema afectado. La falta de verificación adecuada del certificado del cliente abre una brecha significativa en la seguridad de las aplicaciones que dependen de mTLS.
Actualmente, no se han reportado casos de explotación activa de CVE-2025-15346. La vulnerabilidad ha sido agregada al KEV (Known Exploited Vulnerabilities) de CISA, lo que indica una probabilidad de explotación moderada a alta. Se recomienda aplicar la mitigación lo antes posible. La publicación de un proof-of-concept (PoC) público podría aumentar significativamente el riesgo de explotación. La vulnerabilidad fue publicada el 8 de enero de 2026.
Systems relying on wolfssl-py for mTLS authentication are at significant risk. This includes applications and services that use wolfssl-py as a client to connect to servers requiring client certificate verification. Shared hosting environments where multiple applications share the same Python environment are particularly vulnerable, as a compromise of one application could potentially expose all others using the vulnerable wolfssl-py version.
• python / supply-chain:
import wolfssl
print(wolfssl.__version__)• python / supply-chain:
import subprocess
result = subprocess.run(['pip', 'show', 'wolfssl'], capture_output=True, text=True)
print(result.stdout)• python / supply-chain:
import os
if os.path.exists('/usr/local/lib/python3.x/site-packages/wolfssl/__init__.py'):
with open('/usr/local/lib/python3.x/site-packages/wolfssl/__init__.py', 'r') as f:
print(f.read()[:100]) # Check for version stringdisclosure
Estado del Exploit
EPSS
0.07% (21% percentil)
CISA SSVC
La mitigación principal para CVE-2025-15346 es actualizar a la versión 5.8.4.post0 o superior de wolfssl-py. Si la actualización inmediata no es posible debido a problemas de compatibilidad, considere implementar medidas de seguridad adicionales como el uso de un firewall de aplicaciones web (WAF) para bloquear solicitudes que no incluyan un certificado de cliente válido. Además, revise la configuración de su infraestructura TLS para asegurarse de que se apliquen las políticas de autenticación más estrictas posibles. En entornos donde se utiliza un proxy inverso, configure reglas para verificar la presencia y validez del certificado del cliente antes de reenviar la solicitud al servidor de origen. Después de la actualización, confirme la corrección verificando que la autenticación mTLS se aplique correctamente y que se rechacen las solicitudes que no presenten un certificado de cliente válido.
Actualice la biblioteca wolfssl-py a la versión 5.8.4 o superior. Esto corrige la validación incorrecta de certificados de cliente en el modo CERT_REQUIRED. Puede actualizar usando pip: `pip install --upgrade wolfssl-py`.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-15346 is a critical vulnerability in the wolfssl-py Python package where client certificate requirements are not fully enforced, allowing attackers to bypass mTLS authentication by omitting a client certificate.
You are affected if you are using wolfssl-py versions prior to 5.8.4.post0 and rely on mTLS for authentication.
Upgrade to version 5.8.4.post0 or later of the wolfssl-py package. If immediate upgrade is not possible, consider temporary workarounds like strengthening server-side authentication checks.
While no active exploitation has been confirmed, the vulnerability's criticality and ease of exploitation suggest a high likelihood of future exploitation.
Refer to the official wolfssl advisory and security announcements on the wolfssl website for detailed information and updates.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.