CVE-2026-48697

Nome do Software Vulnerável e Versões Afetadas FastNetMon Community Edition versões anteriores a 1.2.10

Descrição O software não verifica certificados TLS em conexões HTTPS de saída. A função execute web request secure() em src/fast library.cpp inicializa um boost::asio::ssl::context no modo tls client e carrega certificados CA via set default verify paths(), mas não invoca set verify mode(boost::asio::ssl::verify peer). Consequentemente, o OpenSSL conclui o handshake TLS sem validar a cadeia de certificados do servidor, permitindo ataques de man-in-the-middle. Este problema afeta o relatório de telemetria para o endpoint 'community-stats.fastnetmon.com', que transmite dados do sistema, como modelo de CPU, versão do kernel, estatísticas de tráfego e configuração de software. Um invasor pode interceptar, modificar ou redirecionar essas informações para um servidor malicioso.

Recomendações Atualize para a versão 1.2.10 ou posterior.