Katalog CVE

CVE-2026-42508

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.47%

Percentyl 37 — wyżej niż 37% wszystkich znanych CVE

Streszczenie

Podatność w systemie zarządzania kluczami powoduje, że odwołany 'SignatureKey' należący do urzędu certyfikacji (CA) nie był poprawnie sprawdzany pod kątem unieważnienia. Obecnie zarówno 'key', jak i 'key.SignatureKey' są weryfikowane pod kątem @revoked.

Ocena ryzyka

Organizacja może używać odwołanych kluczy podpisu, co umożliwia atakującemu podszywanie się pod zaufany urząd certyfikacji i fałszowanie certyfikatów.

Rekomendacja

Należy natychmiast zaktualizować system do wersji zawierającej poprawkę, która poprawnie sprawdza odwołanie 'SignatureKey'.

Oryginalny opis (angielski, źródło NVD)

Previously, a revoked 'SignatureKey' belonging to a CA was not correctly checked for revocation. Now, both the 'key' and 'key.SignatureKey' are checked for @revoked.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS