OpenSSL ha parcheado tres vulnerabilidades con el lanzamiento de nuevas versiones, una de ellas permite la recuperación de la clave privada, mientras que otras posibilitan ejecución de código y ataques de denegación de servicio (DoS). Si utilizas OpenSSL en tus sistemas, la actualización es prioritaria.
OpenSSL es un pilar en la seguridad de la comunicación cifrada global. Recientemente, se han descubierto y corregido tres vulnerabilidades en versiones ampliamente utilizadas, destacando de nuevo la importancia de mantener este componente actualizado. Las versiones afectadas abarcan desde la rama 1.0.2 hasta la 3.5, y los parches ya están disponibles.
Las vulnerabilidades corregidas son CVE-2025-9230, CVE-2025-9231 y CVE-2025-9232. CVE-2025-9231 destaca por permitir la recuperación de la clave privada en implementaciones del algoritmo SM2 sobre plataformas ARM de 64 bits; si bien OpenSSL no soporta SM2 en TLS de forma nativa, proveedores personalizados podrían estar expuestos. CVE-2025-9230 es un out-of-bounds read/write que podría ser aprovechado para ejecución remota de código o DoS, aunque la probabilidad de explotación es baja. Finalmente, CVE-2025-9232 es de baja severidad y puede causar una caída del servicio.
El mayor riesgo reside en la exfiltración de claves privadas y en la posible exposición de datos cifrados, permitiendo ataques man-in-the-middle (MitM) y decriptado de tráfico seguro. La explotación de CVE-2025-9230, aunque menos probable, podría resultar en compromisos graves del sistema como ejecución de código arbitrario. La última vulnerabilidad, aunque menos severa, puede usarse para inducir fallos mediante ataques de denegación de servicio.
Se recomienda encarecidamente actualizar OpenSSL a las versiones 3.5.4, 3.4.3, 3.3.5, 3.2.6, 3.0.18, 1.1.1zd o 1.0.2zm según corresponda. Monitorizar logs en busca de comportamientos anómalos relacionados con la criptografía, limitar fuentes externas de entrada para evitar explotación remota y estar atentos a futuras actualizaciones de seguridad.
Actualizar OpenSSL es imprescindible ante la aparición de vulnerabilidades asociadas a criptografía y comunicación segura. Aunque el escenario de explotación es limitado para todas excepto CVE-2025-9230, los riesgos de compromiso de clave privada y RCE/DoS hacen que parchear cuanto antes sea clave para organizaciones y desarrolladores.
