PT-2026-39291 · Unknown · Elixir Webrtc
Songxpu
·
Publicado
2026-05-08
·
Atualizado
2026-05-15
·
CVE-2026-44700
CVSS v4.0
8.7
Alta
| Vetor | AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
Elixir WebRTC versões anteriores a 0.15.1
Elixir WebRTC versões anteriores a 0.16.1
Description
A ausência de validação da impressão digital (fingerprint) do certificado do peer DTLS na função de cliente DTLS (papel ativo) remove um dos lados da autenticação mútua do WebRTC. Ao atuar como cliente DTLS, a verificação da impressão digital era ignorada no caminho de conclusão do handshake que não retorna pacotes de saída. Isso ocorre mais comumente quando um servidor de mídia ou SFU responde a uma oferta de navegador. Embora não seja explorável independentemente para interceptação de mídia em implantações padrão, este problema permite um ataque de man-in-the-middle completo em mídias de áudio/vídeo (SRTP) e canais de dados (SCTP-over-DTLS) se combinado com sinalização insegura, um servidor de sinalização comprometido ou um peer com lacunas de validação semelhantes.
Recommendations
Atualizar para a versão 0.15.1.
Atualizar para a versão 0.16.1.
Correção
Improper Certificate Validation
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Elixir Webrtc