CVE-2026-27586

Nome do Software Vulnerável e Versões Afetadas Versões do Caddy anteriores à 2.11.1

Descrição O Caddy, uma plataforma de servidor extensível que usa TLS por padrão, apresenta um problema em que a autenticação por certificado de cliente mTLS pode falhar silenciosamente, permitindo acesso sob certas condições. Especificamente, se um arquivo de certificado de AC estiver ausente, ilegível ou malformado, o servidor inicia sem erro, mas aceita qualquer certificado de cliente assinado por qualquer AC confiável do sistema, contornando o limite de confiança da AC privada estabelecido. Isso ocorre porque os erros na função ClientAuthentication.provision() são suprimidos, impedindo que o servidor reconheça a configuração incorreta. O problema afeta implantações que utilizam trusted ca cert file ou trusted ca certs pem files para mTLS. A causa raiz está no tratamento incorreto de erros dentro do método provision() em modules/caddytls/connpolicy.go, onde return nil deveria ser return err nas linhas 787 e 800. Uma prova de conceito demonstra que um cliente pode se conectar com sucesso com qualquer certificado, inclusive um autoassinado, quando o arquivo de AC não existe.

Recomendações Versões anteriores à 2.11.1 devem ser atualizadas para a versão 2.11.1 ou posterior para resolver este problema.