Katalog CVE

CVE-2026-42012

WysokieCVSS 7.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.35%

Percentyl 28 - wyżej niż 28% wszystkich znanych CVE

Streszczenie

W bibliotece GnuTLS wykryto podatność, która pozwala zdalnemu atakującemu na przedstawienie specjalnie spreparowanego certyfikatu zawierającego URI lub SRV w polu Subject Alternative Names (SAN). Powoduje to nieprawidłowe cofnięcie się walidacji certyfikatu do sprawdzania nazw DNS względem Common Name (CN), co może umożliwić podszywanie się pod legalne usługi lub przechwytywanie wrażliwych danych.

Ocena ryzyka

Organizacja narażona jest na ataki typu spoofing, w których atakujący może podszyć się pod zaufaną usługę, co może prowadzić do kradzieży danych uwierzytelniających lub przechwycenia poufnych informacji przesyłanych przez użytkowników.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę GnuTLS do wersji, w której usunięto tę podatność, oraz przejrzeć konfigurację walidacji certyfikatów w aplikacjach korzystających z GnuTLS.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in gnutls. A remote attacker could exploit this vulnerability by presenting a specially crafted certificate that contains Uniform Resource Identifier (URI) or Service (SRV) Subject Alternative Names (SANs). This could cause the certificate validation process to incorrectly fall back to checking DNS hostnames against the Common Name (CN), potentially allowing the attacker to spoof legitimate services or intercept sensitive information.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS