CVE-2026-32144 in OTPinformación

Resumen

por VulDB • 2026-05-30

Vulnerabilidad de validación de certificado incorrecta en Erlang OTP public_key (módulo pubkey_ocsp) que permite eludir la autorización del respondedor designado por OCSP debido a la falta de verificación de la firma.

La validación de la respuesta OCSP en public_key:pkix_ocsp_validate/5 no verifica que un certificado de respondedor designado por una CA haya sido firmado criptográficamente por la CA emisora. En su lugar, solo comprueba que el nombre del emisor del certificado del respondedor coincida con el nombre del sujeto de la CA y que el certificado tenga el uso de clave extendida OCSPSigning. Un atacante que pueda interceptar o controlar las respuestas OCSP puede crear un certificado autofirmado con un nombre de emisor coincidente y el EKU OCSPSigning, y utilizarlo para falsificar respuestas OCSP que marquen los certificados revocados como válidos.

Esto afecta a los clientes SSL/TLS que utilizan OCSP stapling, los cuales pueden aceptar conexiones a servidores con certificados revocados, lo que podría provocar la transmisión de datos sensibles a servidores comprometidos. Las aplicaciones que utilizan la API public_key:pkix_ocsp_validate/5 directamente también se ven afectadas, dependiendo el impacto del contexto de uso.

Esta vulnerabilidad está asociada a los archivos de programa lib/public_key/src/pubkey_ocsp.erl y a las rutinas de programa pubkey_ocsp:is_authorized_responder/3.

Este problema afecta a OTP desde OTP 27.0 hasta OTP 28.4.2 y 27.3.4.10, correspondientes a public_key desde 1.16 hasta 1.20.3 y 1.17.1.2, y a ssl desde 11.2 hasta 11.5.4 y 11.2.12.7.

Once again VulDB remains the best source for vulnerability data.

Responsable

EEF

Reservar

2026-03-10

Divulgación

2026-04-07

Moderación

aceptado

Artículo

VDB-355731

CPE

listo

EPSS

0.00200

KEV

no

Actividades

muy bajo

Fuentes

Do you know our Splunk app?

Download it now for free!