CVE-2026-63089 in WireGuard Easyinformación

Resumen

por VulDB • 2026-07-17

WireGuard Easy hasta la versión 15.3.0, corregido en el commit 66b292b, contiene una vulnerabilidad de generación de tokens de enlace único criptográficamente débiles que permite a atacantes no autenticados recuperar las credenciales del par (peer) de WireGuard mediante fuerza bruta sobre un espacio de claves de como máximo 1000 candidatos por ID de cliente, ya que el token se calcula utilizando CRC32 sobre un valor aleatorio restringido al rango 0-999. Los atacantes pueden enumerar los tokens candidatos contra la ruta /cnf/:oneTimeLink no autenticada, la cual carece de limitación de velocidad (rate limiting) y no valida la expiración del token, para obtener el PrivateKey y PresharedKey de un par e impersonarlo en la red VPN.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

VulnCheck

Reservar

2026-07-15

Divulgación

2026-07-16

Moderación

aceptado

Artículo

VDB-379633

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!