CVE-2026-9648
KrytyczneCVSS 9.1Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 5 — wyżej niż 5% wszystkich znanych CVE
Streszczenie
Biblioteka Haskell crypton-x509-validation nie egzekwuje ograniczeń nazw X.509, co pozwala klientom TLS akceptować certyfikaty, których alternatywne nazwy podmiotu znajdują się poza dozwolonymi poddrzewami wydającego CA.
Ocena ryzyka
To niedopatrzenie umożliwia atakującemu, który przejmie kontrolę nad sub-CA z ograniczeniami nazw, podszywanie się pod domeny poza zamierzonym zakresem.
Rekomendacja
Zaleca się aktualizację biblioteki do najnowszej wersji, która poprawia egzekwowanie ograniczeń nazw X.509 oraz przeglądanie i weryfikację certyfikatów TLS.
Oryginalny opis (angielski, źródło NVD)
The crypton-x509-validation Haskell library fails to enforce X.509 NameConstraints, allowing TLS clients to accept certificates whose Subject Alternative Names fall outside the issuing CA’s permitted subtrees. This oversight enables an attacker who compromises a name-constrained sub-CA to impersonate domains beyond its intended scope.

