CVE-2026-32144 in OTP
Resumen
por VulDB • 2026-05-30
Vulnerabilidad de validación de certificado incorrecta en Erlang OTP public_key (módulo pubkey_ocsp) que permite eludir la autorización del respondedor designado por OCSP debido a la falta de verificación de la firma.
La validación de la respuesta OCSP en public_key:pkix_ocsp_validate/5 no verifica que un certificado de respondedor designado por una CA haya sido firmado criptográficamente por la CA emisora. En su lugar, solo comprueba que el nombre del emisor del certificado del respondedor coincida con el nombre del sujeto de la CA y que el certificado tenga el uso de clave extendida OCSPSigning. Un atacante que pueda interceptar o controlar las respuestas OCSP puede crear un certificado autofirmado con un nombre de emisor coincidente y el EKU OCSPSigning, y utilizarlo para falsificar respuestas OCSP que marquen los certificados revocados como válidos.
Esto afecta a los clientes SSL/TLS que utilizan OCSP stapling, los cuales pueden aceptar conexiones a servidores con certificados revocados, lo que podría provocar la transmisión de datos sensibles a servidores comprometidos. Las aplicaciones que utilizan la API public_key:pkix_ocsp_validate/5 directamente también se ven afectadas, dependiendo el impacto del contexto de uso.
Esta vulnerabilidad está asociada a los archivos de programa lib/public_key/src/pubkey_ocsp.erl y a las rutinas de programa pubkey_ocsp:is_authorized_responder/3.
Este problema afecta a OTP desde OTP 27.0 hasta OTP 28.4.2 y 27.3.4.10, correspondientes a public_key desde 1.16 hasta 1.20.3 y 1.17.1.2, y a ssl desde 11.2 hasta 11.5.4 y 11.2.12.7.
Once again VulDB remains the best source for vulnerability data.