Del DoS al control total: lo que debes saber sobre el nuevo boletín de seguridad de OpenSSL
Publican parches de OpenSSL para corregir bloqueos de aplicaciones y fugas de memoria.
El equipo de OpenSSL publicó un extenso boletín de seguridad en el que varias vulnerabilidades afectan a la popular biblioteca criptográfica. La actualización del 27 de enero de 2026 describe un conjunto de problemas de distinta gravedad, desde desbordamientos de búfer potencialmente peligrosos hasta errores que provocan fallos en aplicaciones. Algunos de ellos pueden utilizarse para la ejecución remota de código, otros causan denegación de servicio, pero todos requieren atención urgente por parte de administradores y desarrolladores.
La vulnerabilidad más grave reconocida es CVE-2025-15467, relacionada con un desbordamiento del búfer de la pila al procesar CMS AuthEnvelopedData. El fallo se produce al manejar mensajes con cifrados AEAD, por ejemplo AES-GCM, cuando un atacante puede proporcionar un vector de inicialización especialmente formado de tamaño aumentado. Esto provoca escrituras fuera de la memoria asignada antes de la verificación de la autenticidad del mensaje y, dependiendo de la plataforma, puede acabar en una denegación de servicio o en la ejecución de código arbitrario.
También se presta atención a CVE-2025-11187 en el mecanismo de comprobación de archivos PKCS#12 que usan PBMAC1. Parámetros incorrectos pueden causar un desbordamiento de búfer de la pila y accesos a punteros no válidos. Esto provoca fallos en aplicaciones y, en teoría, podría crear condiciones explotables. Aunque esos archivos suelen considerarse de confianza, los desarrolladores evaluaron el riesgo como significativo.
El boletín también enumera varias vulnerabilidades de baja y media criticidad. Entre ellas, un fallo en la utilidad 'openssl dgst' (CVE-2025-15469), por el cual los datos superiores a 16 MB al firmar pueden truncarse sin aviso; un problema de asignación excesiva de memoria en TLS 1.3 al usar certificados comprimidos (CVE-2025-66199); así como vulnerabilidades relacionadas con accesos fuera de los límites de la memoria y desreferenciación de puntero NULL en varios componentes de la biblioteca. Entre ellas figuran CVE-2025-68160, CVE-2025-69418, CVE-2025-69419, CVE-2025-69420, CVE-2025-69421, CVE-2025-15468, así como nuevas fallas en el análisis de PKCS#12 y PKCS#7 registradas como CVE-2026-22795 y CVE-2026-22796.
Según los desarrolladores, las vulnerabilidades afectan a distintas ramas de OpenSSL, incluidas las versiones 3.6, 3.5, 3.4, 3.3 y 3.0 según el fallo concreto. Ya se han publicado correcciones y se recomienda a los usuarios que actualicen lo antes posible a los lanzamientos vigentes, como OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 y 3.0.19. Para algunas ramas obsoletas, las actualizaciones están disponibles dentro del soporte de pago.
La publicación de este boletín vuelve a mostrar lo compleja y vulnerable que puede ser la infraestructura criptográfica incluso en proyectos maduros y de uso amplio. Para empresas y desarrolladores es un recordatorio de la necesidad de actualizaciones periódicas y de mantener un control constante sobre las versiones de las bibliotecas, especialmente si los sistemas manejan certificados externos, contenedores PKCS#12 y mensajes criptográficos.