CVE-2026-42791

Nome do Software Vulnerável e Versões Afetadas Erlang OTP versões 27.0 até 27.3.4.11 Erlang OTP versões anteriores a 28.5.0.1 Erlang OTP versões anteriores a 29.0.1 public key versões 1.16 até 1.17.1.2 public key versões anteriores a 1.20.3.1 public key versões anteriores a 1.21.1

Description A Validação Imprópria de Certificado no módulo pubkey ocsp do public key do Erlang OTP permite que respostas forjadas do Online Certificate Status Protocol (OCSP), assinadas com um certificado de respondedor expirado, sejam aceitas como válidas. As funções verify response/5 e is authorized responder/3 não verificam o período de validade (notBefore/notAfter) do certificado do respondedor OCSP. Um invasor que possua a chave privada de um certificado de respondedor OCSP designado pela CA e expirado pode forjar respostas que o sistema aceita. Isso afeta clientes TLS que utilizam OCSP stapling via aplicação ssl, permitindo que um servidor comprometido apresente um certificado TLS revogado como válido. Também afeta aplicações que chamam diretamente a função pkix ocsp validate/5, o que pode levar ao bypass de autenticação durante a validação de certificado de cliente no lado do servidor.

Recommendations Atualize o Erlang OTP para a versão 27.3.4.12, 28.5.0.1 ou 29.0.1. Atualize o public key para a versão 1.17.1.3, 1.20.3.1 ou 1.21.1. Para clientes TLS que utilizam a aplicação ssl, desative o OCSP stapling definindo {stapling, no staple} nas opções do cliente ou alterne para a verificação de revogação baseada em CRL com {crl check, true}. Para aplicações que chamam pkix ocsp validate/5 diretamente, valide o período de validade do certificado do respondedor no código da aplicação antes de chamar a função.