Katalog CVE

CVE-2026-9648

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.02%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

Biblioteka Haskell crypton-x509-validation nie egzekwuje ograniczeń nazw X.509, co pozwala klientom TLS akceptować certyfikaty, których alternatywne nazwy podmiotu znajdują się poza dozwolonymi poddrzewami wydającego CA.

Ocena ryzyka

To niedopatrzenie umożliwia atakującemu, który przejmie kontrolę nad sub-CA z ograniczeniami nazw, podszywanie się pod domeny poza zamierzonym zakresem.

Rekomendacja

Zaleca się aktualizację biblioteki do najnowszej wersji, która poprawia egzekwowanie ograniczeń nazw X.509 oraz przeglądanie i weryfikację certyfikatów TLS.

Oryginalny opis (angielski, źródło NVD)

The crypton-x509-validation Haskell library fails to enforce X.509 NameConstraints, allowing TLS clients to accept certificates whose Subject Alternative Names fall outside the issuing CA’s permitted subtrees. This oversight enables an attacker who compromises a name-constrained sub-CA to impersonate domains beyond its intended scope.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS