CVE-2026-42790

Nome do Software Vulnerável e Versões Afetadas Erlang OTP versões 19.3 até 26.2.5.20 Erlang OTP versões 26.2.5.21 até 27.3.4.11 Erlang OTP versões 27.3.4.12 até 28.5.0.0 Erlang OTP versões 28.5.0.1 até 29.0.0 public key versões 1.4 até 1.15.1.6 public key versões 1.15.1.7 até 1.17.1.2 public key versões 1.17.1.3 até 1.20.3.0 public key versões 1.20.3.1 até 1.21.0

Description A validação inadequada de certificados nos módulos pubkey cert e public key permite a evasão de nameConstraints de DNS durante a verificação de nome de host TLS. Isso ocorre porque a função pubkey cert:validate names/6 verifica apenas as entradas de DNS do Subject Alternative Name (SAN) em relação às nameConstraints, o que significa que certificados sem um SAN satisfazem trivialmente as restrições de DNS permitidas. Simultaneamente, a função public key:pkix verify hostname/3 recorre ao CommonName do assunto quando nenhum SAN está presente, comparando-o com o nome de host de referência. Essa combinação permite que uma CA subordinada com nameConstraints de DNS restritas emita um certificado final que um cliente TLS OTP aceita para um nome de host fora de escopo. Essa evasão é acessível via ssl:connect utilizando verify peer, uma CA confiável, SNI e o correspondente de nome de host https estrito.

Recommendations Atualize o Erlang OTP para a versão 26.2.5.21, 27.3.4.12, 28.5.0.1 ou 29.0.1, dependendo da ramificação de lançamento atual. Atualize o public key para a versão 1.15.1.7, 1.17.1.3, 1.20.3.1 ou 1.21.1, dependendo da ramificação de lançamento atual. Utilize a opção verify fun no aplicativo ssl para garantir que as conexões TLS falhem se o certificado da entidade final não possuir a extensão subjectAltName ou um nome de domínio, assegurando que a verify fun não aceite o erro name not permitted.