CVE-2026-40097

Nome do Software Vulnerável e Versões Afetadas Step CA versões 0.24.0 até 0.30.0-rc3

Descrição Um invasor pode causar um pânico de estouro de índice no Step CA enviando um certificado de chave de atestado (AK) criado com uma extensão de Uso de Chave Estendido (EKU) vazia durante a atestação de dispositivo TPM. Durante a atestação de dispositivo TPM, o Step CA valida que o certificado AK contenha o OID de Uso de Chave Estendido tcg-kp-AIKCertificate. Um certificado criado pode incluir uma extensão EKU que decodifica para uma sequência vazia, causando um pânico no código ao acessar o primeiro elemento da fatia vazia. Esta vulnerabilidade só é alcançável quando um desafio ACME device-attest-01 com atestação de dispositivo TPM está configurado.

Recomendações Atualize para a versão 0.30.0-rc3 ou mais recente. Se não for possível atualizar, desative ou remova quaisquer provisionadores ACME que usem a atestação de dispositivo TPM (device-attest-01).