CVE-2026-11703
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność dotyczy braku wiązania SNI/ALPN podczas wznawiania sesji stanowej (session-ID), co pozwalało na wznowienie sesji z innym SNI/ALPN niż pierwotnie uzgodniony. W przypadku różnych polityk uwierzytelniania klienta na wirtualnych hostach, mogło to prowadzić do przeniesienia stanu uwierzytelnienia do nieodpowiedniego kontekstu.
Ocena ryzyka
Ryzyko polega na możliwości nieautoryzowanego dostępu do zasobów lub obejścia polityk uwierzytelniania klienta, gdy sesja TLS jest wznawiana w kontekście innego wirtualnego hosta.
Rekomendacja
Zaleca się natychmiastową aktualizację do wersji oprogramowania, która zawiera poprawkę wymuszającą weryfikację wiązania SNI/ALPN przy każdym wznowieniu sesji.
Oryginalny opis (angielski, źródło NVD)
Missing SNI/ALPN binding on stateful (session-ID) resumption, which previously skipped the binding check performed for ticket-based resumption. A cached session could be resumed under a different SNI/ALPN than originally negotiated and, where client-authentication policy differs across virtual hosts, carry the cached peer-authentication state into a context it was not established for. Resumption now verifies the SNI/ALPN binding for all paths and declines (falling back to a full handshake) on mismatch.

