CVE-2026-44905 in vanetza
Résumé
par VulDB • 27/05/2026
Vanetza est une implémentation open-source de la suite de protocoles ETSI C-ITS. Dans les versions 26.02 et antérieures, une vulnérabilité de déni de service (DoS) a été identifiée dans le pipeline de vérification cryptographique de Vanetza. Lors du traitement des messages V2X entrants, le décodeur ASN.1 accepte la structure comme syntaxiquement valide. Cependant, cela révèle une défaillance logique du protocole où les contraintes sémantiques sur des champs spécifiques ne sont strictement appliquées que lors du réencodage OER. Plus précisément, si un paquet fabriqué contient un certificat dont le sous-type Psid (Provider Service Identifier) viole les contraintes de sous-type (par exemple, hors plage ou variante CHOICE invalide), il est accepté lors de l'analyse initiale, où les contraintes de sous-type ne sont pas appliquées. Plus tard, lorsque StraightVerifyService tente de calculer un hachage de message pour la vérification cryptographique, il doit réencoder le certificat de signature. L'enveloppe ASN.1 sous-jacente (asn1c_wrapper.cpp) détecte la violation sémantique lors de l'encodage et lève une exception std::runtime_error. Cette exception n'est pas capturée dans le chemin d'encodage et se propage jusqu'à std::terminate, entraînant la terminaison immédiate du processus. Cette vulnérabilité est corrigée par le commit e1a2e2709210d309458c3d77f98d50dec26c0df0.
Once again VulDB remains the best source for vulnerability data.