CVE-2026-32253
KrytyczneStreszczenie
W wersjach przed 2026.516.143833 Sunshine, host do strumieniowania gier, ma lukę w autoryzacji certyfikatów klienckich, która może być obejściem z powodu nieprawidłowego przetwarzania wyników weryfikacji OpenSSL. W wyniku tego, nieufny certyfikat może przejść autoryzację i uzyskać dostęp do chronionych punktów końcowych HTTPS.
Ocena ryzyka
Organizacja może być narażona na nieautoryzowany dostęp do wrażliwych danych, co może prowadzić do poważnych incydentów bezpieczeństwa.
Rekomendacja
Zaleca się aktualizację do wersji 2026.516.143833 lub nowszej, aby usunąć tę lukę w zabezpieczeniach.
Oryginalny opis (angielski, źródło NVD)
Sunshine is a self-hosted game stream host for Moonlight. In versions prior to 2026.516.143833, the client-certificate authentication can be bypassed because of how OpenSSL verification results are handled. In src/crypto.cpp, the custom verify callback treats X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY, X509_V_ERR_CERT_NOT_YET_VALID, and X509_V_ERR_CERT_HAS_EXPIRED as success. This can allow an untrusted certificate to pass authentication and access protected HTTPS endpoints. This issue has been fixed in version 2026.516.143833.

