Katalog CVE

CVE-2026-11703

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność dotyczy braku wiązania SNI/ALPN podczas wznawiania sesji stanowej (session-ID), co pozwalało na wznowienie sesji z innym SNI/ALPN niż pierwotnie uzgodniony. W przypadku różnych polityk uwierzytelniania klienta na wirtualnych hostach, mogło to prowadzić do przeniesienia stanu uwierzytelnienia do nieodpowiedniego kontekstu.

Ocena ryzyka

Ryzyko polega na możliwości nieautoryzowanego dostępu do zasobów lub obejścia polityk uwierzytelniania klienta, gdy sesja TLS jest wznawiana w kontekście innego wirtualnego hosta.

Rekomendacja

Zaleca się natychmiastową aktualizację do wersji oprogramowania, która zawiera poprawkę wymuszającą weryfikację wiązania SNI/ALPN przy każdym wznowieniu sesji.

Oryginalny opis (angielski, źródło NVD)

Missing SNI/ALPN binding on stateful (session-ID) resumption, which previously skipped the binding check performed for ticket-based resumption. A cached session could be resumed under a different SNI/ALPN than originally negotiated and, where client-authentication policy differs across virtual hosts, carry the cached peer-authentication state into a context it was not established for. Resumption now verifies the SNI/ALPN binding for all paths and declines (falling back to a full handshake) on mismatch.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS