CVE-2026-45575

Nome do Software Vulnerável e Versões Afetadas epa4all-client versões anteriores a 1.2.2

Description Um invasor capaz de realizar um ataque de Man-in-the-Middle (MITM) na conexão TLS entre o cliente e o Provedor de Identidade (IDP) dentro da rede Telematik Infrastruktur pode substituir um documento de descoberta forjado. Este documento redireciona as variáveis uri puk idp enc e uri puk idp sig para URLs controladas pelo invasor. Consequentemente, o cliente criptografa a resposta ao desafio assinada por SMC-B usando a chave de criptografia do invasor e a envia via requisição POST para o endpoint de autenticação do invasor, permitindo a captura do material de autenticação assinado.

Recommendations Atualizar para a versão 1.2.2.