PT-2026-4942 · Openssl+5 · Openssl+5

Stanislav Fort

·

Publicado

2025-01-01

·

Atualizado

2026-06-16

·

CVE-2025-15468

CVSS v3.1

5.9

Média

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do OpenSSL 3.3 a 3.6
Descrição Existe uma falha no OpenSSL na qual a função SSL CIPHER find(), quando utilizada em um cliente ou servidor do protocolo QUIC, pode sofrer uma desreferência de ponteiro nulo caso receba uma suíte de cifras desconhecida de seu par. Isso pode levar a uma negação de serviço, causando o término inesperado do processo. O problema foi introduzido com a adição do suporte ao protocolo QUIC na versão 3.2. Os módulos FIPS nas versões 3.6, 3.5, 3.4 e 3.3 não são afetados, pois a implementação do QUIC está fora dos limites do módulo FIPS do OpenSSL. A função vulnerável é SSL CIPHER find().
Recomendações As versões do OpenSSL 3.3 a 3.6 devem ser atualizadas para uma versão corrigida. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

DoS

NULL Pointer Dereference

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-476

Identificadores relacionados

ALSA-2026:1472
ALSA-2026:1473
AZL-75278
BDU:2026-01215
CVE-2025-15468
JLSEC-2026-257
OPENSUSE-SU-2026:10237-1
OPENSUSE-SU-2026:20152-1
OPENSUSE-SU-2026:20673-1
RHSA-2026:1472
RHSA-2026:1473
RHSA-2026:7261
SUSE-SU-2026:20211-1
SUSE-SU-2026:20223-1
SUSE-SU-2026:20542-1
SUSE-SU-2026:20607-1
SUSE-SU-2026:21544-1
SUSE-SU-2026:2411-1
USN-7980-1

Produtos afetados

Freebsd
Linuxmint
Openssl
Red Os
Rocky Linux
Ubuntu