CVE-2026-45447

Nome do Software Vulnerável e Versões Afetadas OpenSSL (versões afetadas não especificadas)

Descrição Uma condição de use-after-free ocorre durante a verificação de assinatura PKCS#7 ao processar uma mensagem assinada PKCS#7 ou S/MIME especialmente manipulada. Especificamente, se o campo digestAlgorithms do SignedData estiver presente como um SET ASN.1 vazio, a função PKCS7 verify() pode liberar incorretamente um BIO de propriedade do chamador. Uma tentativa subsequente do aplicativo chamador de usar ou liberar este BIO via BIO free() pode levar a falhas no processo, corrupção de heap ou, potencialmente, execução remota de código. Aplicativos que utilizam APIs PKCS#7 do OpenSSL são afetados, enquanto aqueles que utilizam APIs CMS não são. Os módulos FIPS nas versões 4.0, 3.6, 3.5, 3.4 e 3.0 não são afetados.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.