PT-2022-16025 · Certifi+4 · Certifi+4

Publicado

2022-12-05

·

Atualizado

2026-06-03

·

CVE-2022-23491

CVSS v3.1

6.8

Média

VetorAV:N/AC:L/PR:H/UI:N/S:C/C:N/I:H/A:N
Nome do software vulnerável e versões afetadas
Versões do Certifi anteriores a 07/12/2022
Descrição
O problema está relacionado à presença dos certificados raiz da TrustCor na lista de certificados raiz, que foram removidos devido ao envolvimento da TrustCor na produção de spyware. Essa remoção faz parte de uma investigação motivada por reportagens da mídia. A exploração desse problema pode permitir que um invasor comprometa quaisquer verificações baseadas em assinaturas digitais.
Recomendações
Para versões do Certifi anteriores a 07/12/2022, desative as assinaturas de certificados raiz da TrustCor incluídas no pacote, geradas após quarta-feira, 30 de novembro de 2022.

Exploit

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345

Identificadores relacionados

ALT-PU-2023-8446
ALT-PU-2024-17878
CVE-2022-23491
ECHO-2096-02CB-109F
GHSA-43FP-RHV2-5GV8
MGASA-2023-0140
OESA-2023-1457
OPENSUSE-SU-2023_0119-1
OPENSUSE-SU-2023_0139-1
OPENSUSE-SU-2024:13237-1
PYSEC-2022-42986
RHSA-2025:9775
SUSE-SU-2023:0118-1
SUSE-SU-2023:0119-1
SUSE-SU-2023:0130-1
SUSE-SU-2023:0139-1
SUSE-SU-2023_0118-1
SUSE-SU-2023_0119-1
SUSE-SU-2023_0130-1
SUSE-SU-2023_0139-1
USN-5761-1
USN-5761-2

Produtos afetados

Alt Linux
Certifi
Debian
Red Os
Suse