CVE-2026-32144 in OTPinformação

Sumário

de VulDB • 30/05/2026

Vulnerabilidade de Validação de Certificado Imprópria no Erlang OTP public_key (módulo pubkey_ocsp) permite a contornação da autorização do respondente designado OCSP devido à falta de verificação de assinatura.

A validação da resposta OCSP em public_key:pkix_ocsp_validate/5 não verifica se um certificado de respondente designado pela CA foi criptograficamente assinado pela CA emissora. Em vez disso, apenas verifica se o nome do emissor do certificado do respondente corresponde ao nome do assunto da CA e se o certificado possui o uso de chave estendido OCSPSigning. Um atacante que possa interceptar ou controlar respostas OCSP pode criar um certificado autoassinado com um nome de emissor correspondente e o EKU OCSPSigning, e usá-lo para forjar respostas OCSP que marcam certificados revogados como válidos.

Isso afeta clientes SSL/TLS que usam OCSP stapling, que podem aceitar conexões com servidores que possuem certificados revogados, potencialmente transmitindo dados sensíveis para servidores comprometidos. Aplicações que usam a API public_key:pkix_ocsp_validate/5 diretamente também são afetadas, com impacto dependendo do contexto de uso.

Esta vulnerabilidade está associada aos arquivos de programa lib/public_key/src/pubkey_ocsp.erl e às rotinas de programa pubkey_ocsp:is_authorized_responder/3.

Esta questão afeta o OTP desde o OTP 27.0 até o OTP 28.4.2 e 27.3.4.10, correspondendo ao public_key de 1.16 até 1.20.3 e 1.17.1.2, e ao ssl de 11.2 até 11.5.4 e 11.2.12.7.

Be aware that VulDB is the high quality source for vulnerability data.

Responsável

EEF

Reservar

10/03/2026

Divulgação

07/04/2026

Moderação

aceite

Entrada

VDB-355731

CPE

pronto

EPSS

0.00200

KEV

não

Atividades

muito baixo

Fontes

Might our Artificial Intelligence support you?

Check our Alexa App!