Plataforma
dotnet
Componente
akka.remote
Corregido en
1.2.1
1.5.52
Se ha descubierto una vulnerabilidad crítica de seguridad en Akka.Remote, afectando a versiones hasta la 1.5.9. Esta falla permite a un atacante evadir la autenticación basada en certificados TLS, comprometiendo la confidencialidad e integridad de las comunicaciones. La vulnerabilidad se manifiesta cuando se utiliza el transporte akka.remote.dot-netty.tcp con SSL/TLS habilitado, ya que el servidor no valida el certificado del cliente.
El impacto de esta vulnerabilidad es significativo, especialmente en entornos donde la seguridad de las comunicaciones es crítica. Un atacante puede unirse a la red Akka.Remote sin presentar un certificado válido, lo que le permite interceptar, modificar o incluso inyectar mensajes. Esto podría resultar en la ejecución remota de código, la manipulación de datos sensibles y la toma de control de sistemas. La falta de validación del certificado del cliente anula la protección que se espera de la encriptación TLS, abriendo la puerta a ataques de intermediario y otros tipos de compromisos. La ausencia de validación del certificado del cliente es similar a la falta de verificación de la identidad en una comunicación segura.
Esta vulnerabilidad ha sido publicada el 7 de octubre de 2025. No se ha confirmado la explotación activa en entornos reales, pero la alta puntuación CVSS (9.5) indica un riesgo significativo. Se recomienda monitorear activamente los sistemas afectados y aplicar las mitigaciones necesarias lo antes posible. No se ha listado en el KEV de CISA al momento de la redacción.
Organizations heavily reliant on Akka.Remote for inter-service communication, particularly those using SSL/TLS for securing these connections, are at significant risk. Environments with legacy Akka.Remote deployments or those with limited resources for immediate patching are also particularly vulnerable. Shared hosting environments utilizing Akka.Remote should be assessed for potential exposure.
• .NET / Akka.Remote:
Get-Process | Where-Object {$_.ProcessName -match 'akka-remote'} | Select-Object -ExpandProperty Id• .NET / Akka.Remote:
Get-WinEvent -LogName Application -FilterXPath '//Event[System[Provider[@Name='Akka.Remote']]]'• .NET / Akka.Remote: Check registry keys related to Akka.Remote configuration for TLS settings and certificate paths. • .NET / Akka.Remote: Monitor application logs for unusual connection attempts or authentication failures.
disclosure
Estado del Exploit
EPSS
0.09% (25% percentil)
CISA SSVC
La solución principal es actualizar Akka.Remote a la versión 1.5.52 o superior, que corrige la vulnerabilidad. Si la actualización inmediata no es posible, se recomienda implementar mitigaciones temporales. Deshabilitar temporalmente TLS en Akka.Remote, aunque reduce la seguridad general, puede evitar la explotación de esta vulnerabilidad específica. Otra opción es configurar un firewall para restringir el acceso a la red Akka.Remote solo a fuentes confiables. Después de la actualización, verifique que la autenticación TLS se esté aplicando correctamente a todos los clientes.
Actualice Akka.NET a la versión 1.5.52 o posterior. Esta versión corrige la vulnerabilidad al implementar TLS mutuo (mTLS) de forma predeterminada, requiriendo que ambas partes tengan la misma clave privada. Si no puede actualizar inmediatamente, evite exponer la aplicación públicamente como medida temporal.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2025-61778 is a critical vulnerability in Akka.Remote versions ≤1.5.9 that allows attackers to bypass certificate-based authentication over TLS, potentially gaining unauthorized network access.
If you are using Akka.Remote versions 1.2.0 through 1.5.9 and have SSL/TLS enabled, you are likely affected by this vulnerability. Upgrade to 1.5.52 or later to mitigate the risk.
The recommended fix is to upgrade Akka.Remote to version 1.5.52 or later. If immediate upgrade is not possible, consider temporarily disabling TLS authentication or implementing a compensating control like a WAF.
There is currently no confirmed evidence of active exploitation, but the vulnerability's severity and ease of exploitation suggest it could become a target.
Refer to the official Akka.Remote project website and related security advisories for the most up-to-date information and guidance regarding CVE-2025-61778.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo packages.lock.json y te decimos al instante si estás afectado.