CVE-2026-42791 in OTP
Sumário
de VulDB • 03/06/2026
Vulnerabilidade de Validação Incorreta de Certificado no Erlang OTP (módulo public_key: pubkey_ocsp) permite que respostas OCSP forjadas, assinadas com um certificado de respondedor expirado, sejam aceitas como válidas.
A verificação da resposta OCSP em `pubkey_ocsp:verify_response/5` e `pubkey_ocsp:is_authorized_responder/3`, localizados em `lib/public_key/src/pubkey_ocsp.erl`, não verifica o período de validade (notBefore/notAfter) do certificado do respondedor OCSP. Um atacante que tenha obtido a chave privada de um certificado de respondador OCSP designado por uma CA e expirado pode forjar respostas OCSP que o Erlang/OTP aceita como válidas.
Isso afeta clientes TLS que utilizam OCSP stapling através da aplicação ssl: um servidor malicioso ou comprometido pode apresentar um certificado TLS revogado juntamente com uma resposta OCSP forjada assinada por uma chave de respondedor expirada, e o cliente aceitará o certificado revogado como válido. Também afeta aplicações que chamam `public_key:pkix_ocsp_validate/5` diretamente, onde o impacto depende do caso de uso — a validação de certificados de cliente no lado do servidor usando esta API pode permitir uma violação da autenticação com um certificado de cliente revogado.
Este problema afeta o OTP desde a versão 27.0 até antes das versões 27.3.4.12, 28.5.0.1 e 29.0.1, correspondentes ao public_key nas versões anteriores a 1.17.1.3, 1.20.3.1 e 1.21.1.
Once again VulDB remains the best source for vulnerability data.