Plataforma
linux
Componente
dde-control-center
Corregido en
6.1.36
5.5.4
2.0.2
Se ha identificado una vulnerabilidad de ataque Man-in-the-Middle (MITM) en el componente plugin-deepinid de dde-control-center, el panel de control del entorno de escritorio Deepin. Esta vulnerabilidad permite a un atacante interceptar el tráfico de red y reemplazar la imagen de avatar del usuario obtenida de openapi.deepin.com u otros proveedores, lo que podría llevar a la identificación del usuario. La vulnerabilidad afecta a las versiones de dde-control-center entre 5.5.3–>= 6.1.35 y < 6.1.80, y ha sido solucionada en la versión 6.1.80.
La principal consecuencia de esta vulnerabilidad es la posibilidad de un ataque MITM. Un atacante posicionado en la red puede interceptar las solicitudes de avatar del usuario y sustituir la imagen original por una imagen maliciosa o engañosa. Esto no solo compromete la integridad visual de la interfaz de usuario, sino que también podría permitir al atacante identificar al usuario basándose en el avatar modificado. Aunque la vulnerabilidad no permite la ejecución remota de código, la capacidad de manipular la identidad visual del usuario puede tener implicaciones psicológicas y de seguridad, especialmente en entornos donde la confianza en la autenticidad de la identidad es crucial. La falta de verificación de certificados TLS facilita este ataque, permitiendo al atacante presentarse como el servidor legítimo.
Esta vulnerabilidad fue publicada el 2026-04-09. No se ha reportado su inclusión en el KEV de CISA ni se han identificado campañas de explotación activas. La existencia de una vulnerabilidad de MITM, aunque de baja probabilidad de explotación, requiere atención debido a su potencial impacto en la privacidad del usuario. La ausencia de un Proof of Concept (PoC) público reduce el riesgo inmediato, pero la facilidad de implementación de un ataque MITM sugiere que podría ser explotada en el futuro.
Users of Deepin Desktop Environment who rely on the dde-control-center for managing their Deepin ID cloud service are at risk. This includes users on systems running affected versions of dde-control-center, particularly those in environments where network traffic is potentially susceptible to interception.
• linux / server:
journalctl -f -u dde-control-center | grep -i "tls certificate verification"• linux / server:
ps aux | grep deepinid• generic web: Use a network sniffer (e.g., Wireshark) to monitor traffic to openapi.deepin.com and look for connections without proper TLS certificate validation.
disclosure
Estado del Exploit
EPSS
0.02% (4% percentil)
CISA SSVC
Vector CVSS
La solución principal para mitigar esta vulnerabilidad es actualizar dde-control-center a la versión 6.1.80 o posterior. Esta versión incluye la corrección que implementa la verificación adecuada de los certificados TLS, evitando así el ataque MITM. Si la actualización a la versión 6.1.80 no es inmediatamente posible, se recomienda implementar medidas de seguridad adicionales, como el uso de una red privada virtual (VPN) para cifrar el tráfico de red y evitar la interceptación por parte de atacantes. Además, se pueden configurar reglas en un firewall de aplicaciones web (WAF) para bloquear el tráfico sospechoso que intente manipular las solicitudes de avatar. Tras la actualización, verifique que la verificación de certificados TLS esté habilitada mediante la inspección del código fuente o la configuración del sistema.
Actualice el paquete dde-control-center a la versión 6.1.80 o superior, o a la versión 5.9.9 si está utilizando una versión anterior a 6.1.35. Esta actualización corrige la configuración incorrecta que permitía omitir la verificación de certificados TLS al descargar avatares, mitigando el riesgo de ataques Man-in-the-Middle.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-35207 es una vulnerabilidad de ataque Man-in-the-Middle en dde-control-center que permite a un atacante interceptar y modificar avatares de usuario.
Si está utilizando una versión de dde-control-center entre 5.5.3–>= 6.1.35 y < 6.1.80, es vulnerable a esta vulnerabilidad.
Actualice dde-control-center a la versión 6.1.80 o posterior para corregir la vulnerabilidad y habilitar la verificación de certificados TLS.
Hasta el momento, no se han reportado campañas de explotación activas para CVE-2026-35207, pero la vulnerabilidad requiere atención.
Consulte la documentación oficial de Deepin Desktop Environment o su canal de seguridad para obtener información detallada sobre CVE-2026-35207.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.