Plataforma
php
Componente
hybridauth/hybridauth
Corregido en
3.12.1
3.12.2
3.12.3
3.12.3
Se ha descubierto una vulnerabilidad en HybridAuth hasta la versión 3.12.2, específicamente en el archivo src/HttpClient/Curl.php dentro del componente de manejo SSL. Esta falla permite la manipulación de las opciones de cURL, lo que resulta en una validación incorrecta de los certificados SSL. La vulnerabilidad puede ser explotada de forma remota y afecta la integridad de las conexiones seguras.
Un atacante puede aprovechar esta vulnerabilidad para eludir la validación de certificados SSL, lo que permite establecer conexiones a servidores aparentemente seguros sin la verificación adecuada de la identidad del servidor. Esto podría llevar a ataques de intermediario (Man-in-the-Middle - MitM), donde el atacante intercepta y modifica el tráfico entre el cliente y el servidor. La complejidad de la explotación se considera alta, pero el éxito podría permitir al atacante acceder a información confidencial o realizar acciones no autorizadas en sistemas que dependen de HybridAuth para la autenticación con terceros.
La vulnerabilidad fue publicada el 2026-03-23. Actualmente no se dispone de un PoC público, pero la complejidad de la explotación sugiere que la probabilidad de un ataque activo es baja a moderada. La falta de respuesta del proveedor aumenta el riesgo a largo plazo. Se recomienda monitorear la situación y aplicar las mitigaciones recomendadas.
Estado del Exploit
EPSS
0.02% (6% percentil)
CISA SSVC
Vector CVSS
Dado que el proveedor no ha respondido a la notificación de la vulnerabilidad, la mitigación inmediata implica implementar validación manual de certificados SSL en la aplicación que utiliza HybridAuth. Esto puede incluir la verificación de la cadena de certificados y la comprobación de la huella digital (fingerprint) del certificado. Otra opción, si es posible, es evitar el uso del componente SSL Handler y optar por una alternativa más segura. Se recomienda monitorear las actualizaciones de HybridAuth y aplicar el parche oficial tan pronto como esté disponible.
Actualice la biblioteca HybridAuth a una versión posterior a 3.12.2. Esto solucionará la validación incorrecta de certificados SSL en el archivo Curl.php. La actualización se puede realizar a través de Composer o descargando la última versión del repositorio y reemplazando los archivos.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-4587 is a LOW severity vulnerability in HybridAuth versions up to 3.12.2. It allows remote attackers to bypass SSL certificate checks, potentially enabling man-in-the-middle attacks.
You are affected if you are using HybridAuth version 3.12.2 or earlier. Check your HybridAuth version and upgrade as soon as a patch is available.
Upgrade to a patched version of HybridAuth when available. Until then, implement workarounds like WAF rules and network segmentation.
As of now, there are no public reports of CVE-2026-4587 being actively exploited, but the lack of vendor response warrants caution.
Check the HybridAuth project's website and GitHub repository for updates and advisories related to CVE-2026-4587.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.