pyca pyOpenSSL bis 0.14.0/26.0.0 set_tlsext_servername_callback erweiterte Rechte
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.2 | $0-$5k | 0.00 |
Zusammenfassung
Eine Schwachstelle wurde in pyca pyOpenSSL bis 0.14.0/26.0.0 gefunden. Sie wurde als kritisch eingestuft. Dies betrifft die Funktion set_tlsext_servername_callback. Die Veränderung resultiert in erweiterte Rechte.
Diese Verwundbarkeit ist als CVE-2026-27448 gelistet. Der Angriff kann über das Netzwerk erfolgen. Es existiert kein Exploit.
Ein Upgrade der betroffenen Komponente wird empfohlen.
Details
In pyca pyOpenSSL bis 0.14.0/26.0.0 wurde eine kritische Schwachstelle entdeckt. Betroffen ist die Funktion set_tlsext_servername_callback. Mit der Manipulation mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle ausgenutzt werden. CWE definiert das Problem als CWE-284. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
pyOpenSSL is a Python wrapper around the OpenSSL library. Starting in version 0.14.0 and prior to version 26.0.0, if a user provided callback to `set_tlsext_servername_callback` raised an unhandled exception, this would result in a connection being accepted. If a user was relying on this callback for any security-sensitive behavior, this could allow bypassing it. Starting in version 26.0.0, unhandled exceptions now result in rejecting the connection.Die Verwundbarkeit wird als CVE-2026-27448 geführt. Das Ausnutzen gilt als leicht. Der Angriff kann über das Netzwerk angegangen werden. Um eine Ausnutzung durchzusetzen, muss keine spezifische Authentisierung umgesetzt werden. Technische Details sind bekannt, ein verfügbarer Exploit hingegen nicht. Als Angriffstechnik weist das MITRE ATT&CK Projekt die ID T1068 aus.
Für den Vulnerability Scanner Nessus wurde ein Plugin mit der ID 302891 (Linux Distros Unpatched Vulnerability : CVE-2026-27448) herausgegeben, womit die Existenz der Schwachstelle geprüft werden kann.
Ein Aktualisieren auf die Version 26.0.0 vermag dieses Problem zu lösen. Eine neue Version kann von github.com bezogen werden. Die Schwachstelle lässt sich auch durch das Einspielen des Patches d41a814759a9fb49584ca8ab3f7295de49a85aa0 lösen. Dieser kann von github.com bezogen werden. Als bestmögliche Massnahme wird das Upgrade auf eine neue Version empfohlen.
Unter anderem wird der Fehler auch in den Datenbanken von Tenable (302891) und CERT Bund (WID-SEC-2026-1183) dokumentiert. If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Betroffen
- Red Hat Enterprise Linux
- Ubuntu Linux
- SUSE Linux
Produkt
Typ
Hersteller
Name
Version
Lizenz
Webseite
- Produkt: https://github.com/pyca/pyopenssl/
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CNA CVSS-B Score: 🔒
CNA CVSS-BT Score: 🔒
CNA Vector: 🔒
CVSSv3
VulDB Meta Base Score: 6.3VulDB Meta Temp Score: 6.2
VulDB Base Score: 7.3
VulDB Temp Score: 7.0
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
NVD Base Score: 5.3
NVD Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Erweiterte RechteCWE: CWE-284 / CWE-266
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Ja
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Nessus ID: 302891
Nessus Name: Linux Distros Unpatched Vulnerability : CVE-2026-27448
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: UpgradeStatus: 🔍
0-Day Time: 🔒
Upgrade: pyOpenSSL 26.0.0
Patch: d41a814759a9fb49584ca8ab3f7295de49a85aa0
Timeline
18.03.2026 Advisory veröffentlicht18.03.2026 VulDB Eintrag erstellt
04.05.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Produkt: github.comStatus: Bestätigt
CVE: CVE-2026-27448 (🔒)
GCVE (CVE): GCVE-0-2026-27448
GCVE (VulDB): GCVE-100-351397
CERT Bund: WID-SEC-2026-1183 - Red Hat Hardened Images RPMs (jq und pyOpenSSL): Mehrere Schwachstellen
Eintrag
Erstellt: 18.03.2026 02:19Aktualisierung: 04.05.2026 00:37
Anpassungen: 18.03.2026 02:19 (58), 18.03.2026 21:55 (2), 21.03.2026 23:11 (15), 23.03.2026 20:28 (11), 22.04.2026 03:53 (7), 04.05.2026 00:37 (1)
Komplett: 🔍
Cache ID: 216::103
If you want to get the best quality for vulnerability data then you always have to consider VulDB.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.