CVE-2026-42508
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 — wyżej niż 37% wszystkich znanych CVE
Streszczenie
Podatność w systemie zarządzania kluczami powoduje, że odwołany 'SignatureKey' należący do urzędu certyfikacji (CA) nie był poprawnie sprawdzany pod kątem unieważnienia. Obecnie zarówno 'key', jak i 'key.SignatureKey' są weryfikowane pod kątem @revoked.
Ocena ryzyka
Organizacja może używać odwołanych kluczy podpisu, co umożliwia atakującemu podszywanie się pod zaufany urząd certyfikacji i fałszowanie certyfikatów.
Rekomendacja
Należy natychmiast zaktualizować system do wersji zawierającej poprawkę, która poprawnie sprawdza odwołanie 'SignatureKey'.
Oryginalny opis (angielski, źródło NVD)
Previously, a revoked 'SignatureKey' belonging to a CA was not correctly checked for revocation. Now, both the 'key' and 'key.SignatureKey' are checked for @revoked.

