Moscowchill

**Nome do Software Vulnerável e Versões Afetadas** Versões do Caddy anteriores à 2.11.1 **Descrição** O Caddy, uma plataforma de servidor extensível que usa TLS por padrão, apresenta um problema em que a autenticação por certificado de cliente mTLS pode falhar silenciosamente, permitindo acesso sob certas condições. Especificamente, se um arquivo de certificado de AC estiver ausente, ilegível ou malformado, o servidor inicia sem erro, mas aceita qualquer certificado de cliente assinado por qualquer AC confiável do sistema, contornando o limite de confiança da AC privada estabelecido. Isso ocorre porque os erros na função `ClientAuthentication.provision()` são suprimidos, impedindo que o servidor reconheça a configuração incorreta. O problema afeta implantações que utilizam `trusted ca cert file` ou `trusted ca certs pem files` para mTLS. A causa raiz está no tratamento incorreto de erros dentro do método `provision()` em `modules/caddytls/connpolicy.go`, onde `return nil` deveria ser `return err` nas linhas 787 e 800. Uma prova de conceito demonstra que um cliente pode se conectar com sucesso com qualquer certificado, inclusive um autoassinado, quando o arquivo de AC não existe. **Recomendações** Versões anteriores à 2.11.1 devem ser atualizadas para a versão 2.11.1 ou posterior para resolver este problema.