PT-2024-6615 · Certifi+3 · Certifi+3

Publicado

2024-07-04

·

Atualizado

2026-06-03

·

CVE-2024-39689

CVSS v2.0

7.8

Alta

VetorAV:N/AC:L/Au:N/C:N/I:C/A:N
Nome do software vulnerável e versões afetadas:
Versões do Certifi de 30/05/2021 a 03/07/2024
Descrição:
O problema está relacionado à validação insuficiente de dados ao processar o certificado raiz GLOBALTRUST, o que pode permitir que um invasor remoto comprometa a integridade das informações protegidas. Os certificados raiz do GLOBALTRUST estão sendo removidos devido a uma investigação que identificou problemas de conformidade de longa data e não resolvidos. Esses certificados estão em processo de remoção do armazenamento de confiança da Mozilla.
Recomendações:
Para versões anteriores a 04/07/2024, atualize para a versão 04/07/2024 ou posterior para remover os certificados raiz GLOBALTRUST do armazenamento de raiz.
Como solução alternativa temporária, considere restringir o uso dos certificados raiz GLOBALTRUST até que um patch esteja disponível.

Exploit

Correção

Insufficient Verification of Data Authenticity

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-345

Identificadores relacionados

ALT-PU-2024-17376
ALT-PU-2024-17878
BDU:2024-07771
CVE-2024-39689
ECHO-2C05-8DB5-680F
GHSA-248V-346W-9CWC
OESA-2026-2145
OPENSUSE-SU-2024:14118-1
OPENSUSE-SU-2025:14997-1
PYSEC-2024-230

Produtos afetados

Alt Linux
Certifi
Debian
Red Os