Se ha identificado una vulnerabilidad crítica en el conocido analizador de protocolos de red, Wireshark. Esta falla de seguridad, catalogada como CVE-2025-5601, permite a posibles atacantes ejecutar ataques de denegación de servicio (DoS). Esto se logra mediante la inyección de paquetes maliciosos o el uso de archivos de captura con un formato incorrecto.
Millones de usuarios globalmente dependen de Wireshark para el análisis y la resolución de problemas de red, por lo que esta vulnerabilidad tiene un impacto significativo. La Fundación Wireshark ha designado oficialmente esta vulnerabilidad como wnpa-sec-2025-02, y fue divulgada el 4 de junio de 2025. Se le ha asignado una calificación de gravedad alta, con una puntuación CVSS de 7.8.
La raíz del problema se encuentra en un error dentro del módulo de utilidad de columna de Wireshark. Este error provoca que ciertos disectores fallen al procesar tráfico de red que no cumple con el formato esperado.
Las versiones de Wireshark afectadas son la 4.4.0 a la 4.4.6 y la 4.2.0 a la 4.2.12. La vulnerabilidad ha sido clasificada bajo CWE-120, lo que indica una «Copia de búfer sin verificar el tamaño de la entrada», comúnmente conocida como una condición de desbordamiento de búfer.
Según los investigadores de seguridad, la vulnerabilidad se puede explotar a través de dos vectores de ataque principales. Primero, los atacantes pueden inyectar paquetes con formato incorrecto directamente en la infraestructura de red que Wireshark está monitoreando. En segundo lugar, los actores maliciosos pueden crear archivos de captura de paquetes corruptos y convencer a los usuarios para que los abran, lo que provoca el bloqueo.
La Fundación Wireshark declaró en su aviso de seguridad que, si bien la vulnerabilidad fue «descubierta en nuestro entorno de prueba interno», «no tienen conocimiento de ningún exploit para este problema».
Sin embargo, los expertos en seguridad advierten que el potencial de explotación sigue siendo significativo dada la implementación generalizada de Wireshark en entornos empresariales.
Cuando se explota con éxito, la vulnerabilidad provoca que la aplicación Wireshark falle, lo que interrumpe el análisis crítico de la red y las operaciones de monitoreo.
Esto podría tener graves implicaciones para las organizaciones que confían en Wireshark para el monitoreo de la seguridad de la red en tiempo real y la respuesta a incidentes.
La Fundación Wireshark ha lanzado parches para abordar la vulnerabilidad. Se recomienda encarecidamente a los usuarios que actualicen inmediatamente a la versión 4.4.7 o 4.2.12 de Wireshark, que contiene las correcciones necesarias. Los parches estuvieron disponibles simultáneamente con la divulgación de la vulnerabilidad el 4 de junio de 2025.
Los expertos en seguridad recomiendan varias medidas de precaución adicionales además de actualizar el software. Las organizaciones deben verificar las fuentes de los archivos de captura antes de abrirlos en Wireshark, limitar las operaciones de captura de paquetes de red a fuentes confiables e implementar la segmentación de la red para reducir la exposición.
Esta última vulnerabilidad continúa un patrón de problemas de seguridad que afectan a los módulos disectores de Wireshark. Los incidentes anteriores incluyen CVE-2025-1492 en los disectores Bundle Protocol y CBOR, así como vulnerabilidades anteriores en Bluetooth ATT, Radiotap y otros disectores de protocolo.
El descubrimiento subraya los desafíos actuales a la hora de proteger herramientas complejas de análisis de red que deben analizar el tráfico de red diverso y potencialmente malicioso.
Mientras Wireshark procesa paquetes de redes que no son de confianza, sigue siendo un objetivo atractivo para los atacantes que buscan interrumpir las capacidades de monitoreo de la red.
Las organizaciones que utilizan Wireshark en entornos de producción deben priorizar la aplicación de parches inmediatos y revisar sus protocolos de seguridad de monitoreo de red para evitar la posible explotación de esta y futuras vulnerabilidades.
