PT-2026-31036 · Dane+4 · Dane+4

Alexandr Nedvedicky

+2

·

Publicado

2026-04-07

·

Atualizado

2026-05-10

·

CVE-2026-28387

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Name of the Vulnerable Software and Affected Versions versões não especificadas
Description Uma configuração incomum de clientes executando autenticação de servidor baseada em DANE TLSA, quando combinada com registros DANE TLSA de servidor incomuns, pode resultar em um uso após liberação e/ou liberação dupla no lado do cliente. Um uso após liberação pode levar à corrupção de dados, travamentos ou execução de código arbitrário. O problema afeta clientes que usam registros TLSA com os usos de certificado PKIX-TA(0/PKIX-EE(1)) e DANE-TA(2). Clientes que tratam os registros PKIX TLSA como inutilizáveis ou suportam apenas os usos PKIX não são vulneráveis. O cliente também deve se comunicar com um servidor que publique um conjunto de registros TLSA RR com ambos os tipos de registros TLSA.
Recommendations No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

DoS

Use After Free

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-416

Identificadores relacionados

CVE-2026-28387
ECHO-6FC6-4872-7EA8
MGASA-2026-0091
OESA-2026-2041
OESA-2026-2042
OESA-2026-2043
OESA-2026-2044
OESA-2026-2045
OESA-2026-2189
OESA-2026-2190
OESA-2026-2191
OPENSUSE-SU-2026:10533-1
OPENSUSE-SU-2026:20525-1
RHSA-2026:7261
SUSE-SU-2026:1213-1
SUSE-SU-2026:1214-1
SUSE-SU-2026:1215-1
SUSE-SU-2026:1216-1
SUSE-SU-2026:1255-1
SUSE-SU-2026:1256-1
SUSE-SU-2026:1257-1
SUSE-SU-2026:1290-1
SUSE-SU-2026:1291-1
SUSE-SU-2026:1375-1
SUSE-SU-2026:1386-1
SUSE-SU-2026:1577-1
SUSE-SU-2026:21037-1
SUSE-SU-2026:21065-1
SUSE-SU-2026:21107-1
SUSE-SU-2026:21186-1
USN-8155-1
USN-8155-2

Produtos afetados

Dane
Ibm Aix
Linuxmint
Openssl
Ubuntu