Katalog CVE

CVE-2026-45389

WysokieCVSS 7.4
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.22%

Percentyl 13 — wyżej niż 13% wszystkich znanych CVE

Streszczenie

W OCaml-TLS przed wersją 2.1.0 implementacja serwera nie przeprowadza wystarczających kontroli certyfikatu dostarczonego przez klienta podczas autoryzacji klienta. To pozwala na podszywanie się przy użyciu certyfikatów, które nie są przeznaczone do autoryzacji klienta.

Ocena ryzyka

Organizacje mogą być narażone na ataki typu impersonation, co może prowadzić do nieautoryzowanego dostępu do zasobów i danych.

Rekomendacja

Zaleca się aktualizację OCaml-TLS do wersji 2.1.0 lub nowszej, aby zapewnić odpowiednie kontrole certyfikatów podczas autoryzacji klienta.

Oryginalny opis (angielski, źródło NVD)

In OCaml-TLS before 2.1.0, the server implementation does insufficient checks of the certificate provided by the client (when doing client authentication), which allows impersonation with certificates that are not meant for client authentication (because of KeyUsage and ExtendedKeyUsage).

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS