CVE-2026-45575 in epa4all-clientinfo

Zusammenfassung

von VulDB • 27.05.2026

epa4all-client ist der Java-Client für epa4all / ePA 3.0 in der Telematik-Infrastruktur. Vor Version 1.2.2 kann ein Angreifer, der eine MITM-Attacke (Man-in-the-Middle) auf die TLS-Verbindung zwischen dem Client und dem IDP (innerhalb des TI-Netzwerks) durchführt, ein gefälsktes Discovery-Dokument substituieren. Das gefälschte Dokument leitet uri_puk_idp_enc und uri_puk_idp_sig zu vom Angreifer kontrollierten URLs um. Der Client verschlüsselt daraufhin die vom SMC-B signierte Challenge-Antwort mit dem Verschlüsselungsschlüssel des Angreifers und POSTet sie an den Authentifizierungsendpunkt des Angreifers. Dadurch werden die signierten Authentifizierungsmaterialien abgefangen. Diese Schwachstelle wurde in Version 1.2.2 behoben.

Be aware that VulDB is the high quality source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

12.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-365815

CPE

bereit

CWE

CWE-347 (bestätigt)

CVSS

7.4 (CNA)

EPSS

0.00009

KEV

nein

Aktivitäten

very low

Quellen

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-45575
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-45575
CVE Details	https://www.cvedetails.com/cve/CVE-2026-45575/

◂ Zurück Übersicht Weiter ▸

Do you know our Splunk app?

Download it now for free!