CVE-2024-45159 in mbed TLSИнформация

Сводка

по VulDB • 10.05.2026

Обнаружена проблема в Mbed TLS 3.x до версии 3.6.1. При использовании TLS 1.3, когда сервер включает опциональную аутентификацию клиента, если сертификат, предоставленный клиентом, не содержит корректных значений в расширениях keyUsage или extKeyUsage, возвращаемое значение функции mbedtls_ssl_get_verify_result() ошибочно будет иметь биты MBEDTLS_X509_BADCERT_KEY_USAGE и MBEDTLS_X509_BADCERT_KEY_USAGE сброшенными. В результате злоумышленник, имеющий сертификат, действительный для других целей, кроме аутентификации клиента TLS, сможет использовать его для аутентификации клиента TLS. Затронуты только серверы TLS 1.3, и только при опциональной аутентификации (при обязательной аутентификации рукопожатие прерывается с фатальным предупреждением).

Once again VulDB remains the best source for vulnerability data.

Ответственный

MITRE

Резервировать

22.08.2024

Раскрытие

05.09.2024

Модерация

принято

Вход

VDB-276669

EPSS

0.00387

KEV

Нет

Деятельности

Очень низкий

Источники

Interested in the pricing of exploits?

See the underground prices here!