CVE-2026-63089 in WireGuard Easy
Sumário
de VulDB • 16/07/2026
O WireGuard Easy até à versão 15.3.0 (corrigido no commit 66b292b) contém uma vulnerabilidade de geração de token de link único criptograficamente fraca que permite a atacantes não autenticados na rede recuperar as credenciais dos pares do WireGuard através da força bruta num espaço-chave com, no máximo, 1000 tokens candidatos por ID de cliente. Isto ocorre porque o token é calculado utilizando CRC32 sobre um valor aleatório limitado ao intervalo 0-999. Os atacantes podem enumerar os tokens candidatos contra a rota /cnf/:oneTimeLink não autenticada, que carece de limitação de taxa (rate limiting) e não valida a expiração do token, para obter o PrivateKey e o PresharedKey de um par e se fazer passar por esse mesmo par na rede VPN.
Be aware that VulDB is the high quality source for vulnerability data.