NARCO OBSERVATORIO
🛡 VULNERABILIDADES 🛡

CVE-2026-4601: Detectada Vulnerabilidad Crítica (CVSS 8.7)

🛡CyberObservatorio
Idioma
◢ VULNERABILIDADES ◣

CVE-2026-4601: Detectada Vulnerabilidad Crítica (CVSS 8.7)

⟫ 24/03/2026 ⟫ NVD/NIST
Fuente: NVD NIST

**Nueva vulnerabilidad crítica en jsrsasign: CVE-2026-4601**

En el ámbito de la ciberseguridad, la identificación de vulnerabilidades críticas es un fenómeno que demanda atención constante, dado su potencial para comprometer la seguridad de numerosos sistemas. Recientemente, se ha detectado una vulnerabilidad crítica en el paquete de software jsrsasign, designada como CVE-2026-4601. Esta vulnerabilidad, con una puntuación de 8.7 sobre 10 en la escala CVSS, representa un riesgo significativo para las organizaciones que utilizan versiones anteriores a la 11.1.1 de este paquete, lo que hace que la situación requiera una respuesta inmediata por parte de los equipos de seguridad informática.

Desde un punto de vista técnico, la vulnerabilidad se origina en un fallo en el proceso KJUR.crypto.DSA.signWithMessageHash, que forma parte de la implementación de firma DSA del paquete. En concreto, un atacante puede manipular el proceso para forzar los valores de r o s a cero. Este error provoca que la biblioteca genere una firma inválida sin intentar un nuevo cálculo, lo que permite al atacante resolver la clave privada a partir de la firma resultante. La naturaleza de este fallo se clasifica como CWE-325, que se refiere a la ausencia de un paso criptográfico esencial, lo que subraya la gravedad de la debilidad en la seguridad del software.

El vector de ataque asociado a esta vulnerabilidad está clasificado como NETWORK y presenta una alta complejidad de ataque. Lo alarmante de esto es que no se requieren privilegios específicos ni interacción del usuario, lo que significa que un atacante podría explotar esta vulnerabilidad de forma remota sin necesidad de acceso previo al sistema afectado. Con una puntuación CVSS de 8.7, esta vulnerabilidad es considerada crítica, lo que indica que podría permitir la ejecución remota de código, la escalada de privilegios o incluso el compromiso total del sistema afectado.

Históricamente, el campo de la criptografía ha sido un objetivo recurrente para los atacantes, y vulnerabilidades similares han sido detectadas en el pasado, lo que pone de manifiesto la importancia de la revisión y actualización constantes de las bibliotecas criptográficas. La comunidad de desarrolladores y administradores de sistemas debe permanecer alerta ante este tipo de incidentes, ya que la seguridad de sus infraestructuras depende en gran medida de la robustez de las herramientas que utilizan.

Dada la gravedad de esta vulnerabilidad, se recomienda encarecidamente a todas las organizaciones que utilizan versiones anteriores a la 11.1.1 de jsrsasign que apliquen de manera inmediata los parches de seguridad disponibles. Además, es crucial que los administradores revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red para detectar cualquier actividad sospechosa asociada con esta vulnerabilidad. Para obtener más información técnica y acceder a los parches, los administradores pueden consultar las siguientes referencias: [Gist de Kr0emer](https://gist.github.com/Kr0emer/93789fe6efe5519db9692d4ad1dad586), [Commit en GitHub](https://github.com/kjur/jsrsasign/commit/0710e392ec35de697ce11e4219c988ba2b5fe0eb) y [Pull request en GitHub](https://github.com/kjur/jsrsasign/pull/645). La proactividad en la mitigación de riesgos es esencial para salvaguardar la integridad de los sistemas y los datos que manejan.

◢ VULNERABILIDADES ◣

CVE-2026-4601: Vulnerabilidad Crítica Detectada (CVSS 8.7)

⟫ 24/03/2026 ⟫ NVD/NIST
Source: NVD NIST

Se ha detectado una nueva vulnerabilidad crítica, identificada como CVE-2026-4601, que cuenta con una puntuación CVSS de 8.7/10. Esta vulnerabilidad representa un riesgo significativo para los sistemas afectados y requiere atención inmediata por parte de los equipos de seguridad. Descripción técnica: Versions of the package jsrsasign before 11.1.1 are vulnerable to Missing Cryptographic Step via the KJUR.crypto.DSA.signWithMessageHash process in the DSA signing implementation. An attacker can recover the private key by forcing r or s to be zero, so the library emits an invalid signature without retrying, and then solves for x from the resulting signature. La vulnerabilidad está clasificada como CWE-325, lo que indica el tipo específico de debilidad de seguridad presente en el software afectado. Análisis del vector de ataque: El vector de ataque es NETWORK con complejidad de ataque HIGH. Privilegios requeridos: NONE. Interacción del usuario: NONE. Con una puntuación CVSS de 8.7, esta vulnerabilidad se clasifica como CRÍTICA en la escala Common Vulnerability Scoring System v3.1, que va de 0 a 10. Las vulnerabilidades con puntuaciones superiores a 9.0 representan los mayores riesgos de seguridad y típicamente permiten la ejecución remota de código, escalada de privilegios o compromiso total del sistema. Para más información técnica y parches disponibles, los administradores de sistemas pueden consultar las siguientes referencias: https://gist.github.com/Kr0emer/93789fe6efe5519db9692d4ad1dad586 https://github.com/kjur/jsrsasign/commit/0710e392ec35de697ce11e4219c988ba2b5fe0eb https://github.com/kjur/jsrsasign/pull/645 Se recomienda encarecidamente a todas las organizaciones que utilicen el software afectado que apliquen los parches de seguridad disponibles de forma inmediata, revisen sus sistemas en busca de indicadores de compromiso y monitoricen el tráfico de red en busca de actividad sospechosa relacionada con esta vulnerabilidad.

Compartir

𝐗 Twitterf Facebook WhatsApp Telegram
VOLVER A CIBERSEGURIDAD
CVE-2026-4601: Detectada Vulnerabilidad Crítica (CVSS 8.7) | Ciberseguridad - NarcoObservatorio