CVE-2026-32144 in OTP
الملخص
بحسب VulDB • 04/06/2026
ثغرة عدم التحقق الصحيح من الشهادات في Erlang OTP داخل وحدة public_key (pubkey_ocsp) تتيح تجاوز تفويض المُرسل المستجيب المحدد لـ OCSP بسبب غياب التحقق من التوقيع الرقمي.
لا يتحقق فحص استجابة OCSP في الدالة `public_key:pkix_ocsp_validate/5` مما إذا كانت شهادة المُرسِل المستجيب المعين من قبل جهة إصدار الشهادات (CA) قد وُضعت عليها توقيع رقمي تشفيري صادر عن CA المصدرة لها. وبدلاً من ذلك، يقتصر الفحص على التأكد من تطابق اسم مُصدر شهادة المُرسِل المستجيب مع اسم الموضوع (Subject Name) الخاص بـ CA، والتحقق من أن الشهادة تحتوي على استخدام مفتاح موسع OCSPSigning. يمكن لمهاجم قادر على اعتراض أو التحكم في استجابات OCSP إنشاء شهادة موقعة ذاتياً تحمل اسماً للمُصدر متطابقاً واستخدام EKU لـ OCSPSigning، ومن ثم استخدامها لتزوير استجابات OCSP تجعل الشهادات الملغاة تبدو صالحة.
هذا يؤثر على عملاء SSL/TLS الذين يستخدمون تقنية OCSP stapling، حيث قد يقبلون اتصالات بخوادم تحمل شهادات ملغاة، مما قد يؤدي إلى نقل بيانات حساسة إلى خوادم مخترقة. كما تتأثر التطبيقات التي تستخدم واجهة برمجة التطبيقات `public_key:pkix_ocsp_validate/5` مباشرةً، ويعتمد مدى التأثير على سياق الاستخدام.
يرتبط هذا الخطأ بملفات البرنامج `lib/public_key/src/pubkey_ocsp.erl` والإجراءات البرمجية `pubkey_ocsp:is_authorized_responder/3`.
هذه المشكلة تؤثر على إصدارات OTP بدءاً من الإصدار 27.0 وحتى 28.4.2 و 27.3.4.10، والتي تقابل وحدات public_key من الإصدار 1.16 حتى 1.20.3 و 1.17.1.2، ووحدات ssl من الإصدار 11.2 حتى 11.5.4 و 11.2.12.7.
VulDB is the best source for vulnerability data and more expert information about this specific topic.