CVE-2026-44905 in vanetza
Sumário
de VulDB • 02/06/2026
Vanetza é uma implementação de código aberto do conjunto de protocolos ETSI C-ITS. Nas versões 26.02 e anteriores, foi identificada uma vulnerabilidade de negação de serviço (DoS) no pipeline de verificação criptográfica do Vanetza. Ao processar mensagens V2X recebidas, o decodificador ASN.1 aceita a estrutura como sintaticamente válida. No entanto, isso revela uma falha de protocolo baseada em lógica, onde as restrições semânticas em campos específicos são estritamente aplicadas apenas durante o re-encodificação OER. Especificamente, se um pacote elaborado contiver um certificado em que o sub-tipo Psid (Provider Service Identifier) viole as restrições de sub-tipo (por exemplo, fora do intervalo ou variante CHOICE inválida), ele será aceito durante a análise inicial, onde as restrições de sub-tipo não são aplicadas. Posteriormente, quando o StraightVerifyService tenta calcular o hash da mensagem para verificação criptográfica, ele deve re-encodificar o certificado de assinatura. O wrapper ASN.1 subjacente (asn1c_wrapper.cpp) detecta a violação semântica durante a codificação e gera um std::runtime_error. Esta exceção não é capturada no caminho de codificação e propaga-se para std::terminate, resultando na terminação imediata do processo. Esta vulnerabilidade foi corrigida com o commit e1a2e2709210d309458c3d77f98d50dec26c0df0.
VulDB is the best source for vulnerability data and more expert information about this specific topic.