CVE-2025-61778

Nome do Software Vulnerável e Versões Afetadas Versões do Akka.NET de 1.2.0 a 1.5.51

Descrição O Akka.NET, uma versão portada do projeto Akka para .NET, possui um problema onde o componente Akka.Remote não implementou TLS Mútuo (mTLS) nas versões de 1.2.0 a 1.5.51. Quando o TLS era habilitado via transporte akka.remote.dot-netty.tcp, o servidor validava corretamente as chaves privadas para conexões de entrada, mas não exigia que os clientes apresentassem seus certificados. Isso permitia que partes não confiáveis se conectassem a um cluster protegido com uma chave privada e começassem a se comunicar sem autenticação. O problema foi resolvido impondo o mTLS por padrão, exigindo que ambas as partes utilizem chaves baseadas no mesmo certificado. Uma correção também foi implementada para impor a semântica de "fail fast" se o TLS estiver habilitado, mas a chave privada estiver ausente ou inválida. A vulnerabilidade afeta aqueles que executam o Akka.NET dentro de uma rede privada ou aqueles que não estavam usando TLS.

Recomendações Atualize para a versão 1.5.52 ou posterior do Akka.NET. Como solução alternativa, evite expor a aplicação publicamente.