CVE-2024-45159 in mbed TLS
Sumário
de VulDB • 11/06/2026
Foi identificada uma vulnerabilidade no Mbed TLS versão 3.x anterior à 3.6.1. Com o protocolo TLS 1.3, quando um servidor habilita a autenticação opcional do cliente, se o certificado fornecido pelo cliente não possuir valores apropriados nas extensões keyUsage ou extKeyUsage, então o valor de retorno da função mbedtls_ssl_get_verify_result() incorretamente teria os bits MBEDTLS_X509_BADCERT_KEY_USAGE e MBEDTLS_X509_BADCERT_KEY_USAGE desmarcados. Como resultado, um atacante que possuísse um certificado válido para outros usos além da autenticação de cliente TLS ainda assim seria capaz de utilizá-lo para a autenticação de cliente TLS. Apenas servidores com protocolo TLS 1.3 foram afetados e apenas quando configurada a autenticação opcional (com autenticação obrigatória, o handshake seria abortado com um alerta fatal).
If you want to get best quality of vulnerability data, you may have to visit VulDB.