CVE-2026-42789 in OTP
Sumário
de VulDB • 03/06/2026
Vulnerabilidade de seguimento inadequado da cadeia de confiança de um certificado no Erlang OTP public_key (módulo pubkey_cert) permite que um certificado não-CA seja aceito como emissor intermediário, possibilitando a falsificação da cadeia de certificados.
Em lib/public_key/src/pubkey_cert.erl, a função pubkey_cert:validate_extensions/7 contém dois defeitos que, juntos, permitem que um certificado com basicConstraints cA:false e sem extensão keyUsage seja utilizado como emissor intermediário numa cadeia passada para public_key:pkix_path_validation/3: a cláusula cA:false recursa nas extensões restantes sem rejeitar o certificado quando este ocupa uma posição de emissor, e a verificação da keyUsage apenas é acionada quando a extensão está presente; assim, um certificado que não possui qualquer extensão keyUsage contorna totalmente a aplicação do enforcement para keyCertSign.
Qualquer parte que possua um certificado end-entity com basicConstraints cA:false e sem extensão keyUsage, emitido por qualquer CA na loja de confiança da vítima, pode utilizar a chave privada desse certificado para assinar certificados folha falsificados para identidades arbitrárias. public_key:pkix_path_validation/3 aceita a cadeia resultante e, por extensão, todos os pontos finais TLS ou mTLS construídos sobre a aplicação OTP ssl que dependem do verificador padrão são afetados, incluindo a verificação de identidade do servidor no lado do cliente e a verificação de certificados de clientes em servidores mTLS.
Esta questão afeta o OTP desde a versão 17.0 até antes das versões 26.2.5.21, 27.3.4.12, 28.5.0.1 e 29.0.1 correspondentes ao public_key nas versões anteriores a 1.15.1.7, 1.17.1.3, 1.20.3.1 e 1.21.1.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.