Plataforma
python
Componente
cryptography
Corregido en
46.0.7
46.0.6
La biblioteca cryptography para Python presenta una vulnerabilidad en la validación de nombres DNS. Antes de la versión 46.0.6, la validación de restricciones de nombres DNS no consideraba correctamente las restricciones de subárbol en certificados padres, permitiendo la validación contra certificados comodín incluso cuando se excluye un subdominio específico. Esto podría permitir a un atacante realizar ataques de tipo Man-in-the-Middle (MitM). La vulnerabilidad ha sido solucionada en la versión 46.0.6.
Esta vulnerabilidad permite a un atacante interceptar y manipular el tráfico de red al presentar un certificado válido, pero que no cumple con las restricciones de subárbol definidas en la cadena de certificados. Un atacante podría, por ejemplo, presentar un certificado comodín (*.example.com) para validar contra un servidor bar.example.com, incluso si el certificado raíz de la cadena de confianza excluye explícitamente bar.example.com. Esto facilita la realización de ataques MitM, permitiendo al atacante leer, modificar o incluso suprimir datos en tránsito. El riesgo se agrava en entornos donde se utilizan certificados comodín para simplificar la gestión, pero donde la seguridad requiere un control más granular de los nombres de dominio permitidos.
Esta vulnerabilidad fue publicada el 2026-03-27. No se ha reportado su inclusión en el KEV de CISA ni la existencia de PoCs públicas activas al momento de la publicación. La severidad se evalúa como MEDIA (CVSS 5.3), lo que indica una probabilidad de explotación moderada, especialmente en entornos donde se utilizan certificados comodín sin una validación adecuada.
Applications and systems relying on the cryptography library for secure communication, particularly those using wildcard certificates or relying on Name Constraints for enhanced security, are at risk. This includes web applications, APIs, and any system performing TLS/SSL connections where certificate validation is a critical security control.
• python / library:
import cryptography
print(cryptography.__version__)• python / library: Check for versions <= 46.0.5 using pip:
pip show cryptography• generic web: Inspect TLS handshake logs for unusual certificate validation patterns or connections to unexpected domains.
disclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
Vector CVSS
La mitigación principal es actualizar la biblioteca cryptography a la versión 46.0.6 o superior. Si la actualización no es inmediatamente posible, se recomienda revisar la configuración de los certificados utilizados y asegurarse de que las restricciones de subárbol se apliquen correctamente. Aunque no es una solución completa, se puede considerar el uso de un proxy o WAF para inspeccionar los certificados presentados y bloquear aquellos que no cumplan con las políticas de seguridad. Verifique después de la actualización que la validación de nombres DNS se realiza correctamente, utilizando herramientas de análisis de certificados para confirmar que las restricciones de subárbol se aplican como se espera.
Actualice la biblioteca (cryptography) a la versión 46.0.6 o superior. Esto corregirá la validación incompleta de las restricciones de nombres DNS en los nombres de pares.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-34073 es una vulnerabilidad de validación DNS en la biblioteca cryptography para Python que permite ataques MitM al no validar correctamente las restricciones de subárbol en certificados.
Si está utilizando cryptography en su sistema y tiene una versión inferior o igual a 46.0.5, es vulnerable a esta vulnerabilidad.
Actualice la biblioteca cryptography a la versión 46.0.6 o superior para solucionar esta vulnerabilidad.
Al momento de la publicación, no se han reportado explotaciones activas de CVE-2026-34073, pero se recomienda aplicar la solución para mitigar el riesgo.
Consulte la documentación oficial de cryptography y los avisos de seguridad en su sitio web para obtener más información sobre CVE-2026-34073.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo requirements.txt y te decimos al instante si estás afectado.