CVE-2026-7511
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 7 — wyżej niż 7% wszystkich znanych CVE
Streszczenie
Podatność w funkcji PKCS7_verify umożliwia pomylenie podpisującego, co pozwala na akceptację sfałszowanych podpisów. Brak prawidłowego powiązania podpisu z jego autorem prowadzi do obejścia mechanizmów weryfikacji.
Ocena ryzyka
Organizacja może zaakceptować dokument lub dane podpisane przez nieuprawnioną osobę, co grozi naruszeniem integralności i autentyczności informacji, a w konsekwencji może prowadzić do ataków socjotechnicznych lub podszywania się.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę kryptograficzną do wersji, w której poprawiono weryfikację powiązania podpisu z podpisującym. Do czasu aktualizacji należy wstrzymać zaufanie do podpisów PKCS#7 pochodzących z niezaufanych źródeł.
Oryginalny opis (angielski, źródło NVD)
PKCS7_verify signer confusion allows forged signatures, where the signer associated with a signature is not correctly bound, permitting a forged signature to be accepted.

