Katalog CVE

CVE-2026-45388

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 4 — wyżej niż 4% wszystkich znanych CVE

Streszczenie

W OCaml-TLS przed wersją 2.1.0 implementacja klienta nie przeprowadza wystarczających kontroli certyfikatu dostarczonego przez serwer, co umożliwia podszywanie się przy użyciu certyfikatów, które nie są przeznaczone do uwierzytelniania serwera.

Ocena ryzyka

Organizacja może być narażona na ataki typu impersonation, co może prowadzić do nieautoryzowanego dostępu do danych lub usług.

Rekomendacja

Zaleca się aktualizację OCaml-TLS do wersji 2.1.0 lub nowszej, aby zapewnić odpowiednie kontrole certyfikatów.

Oryginalny opis (angielski, źródło NVD)

In OCaml-TLS before 2.1.0, the client implementation does insufficient checks of the certificate provided by the server, which allows impersonation with certificates that are not meant for server authentication (because of KeyUsage and ExtendedKeyUsage).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS