CVE-2025-69421

Nome do Software Vulnerável e Versões Afetadas OpenSSL versões 1.0.2 a 3.6 OpenSSL versão 1.1.1

Descrição Um arquivo PKCS#12 malformado pode causar uma dereferência de ponteiro NULL na função PKCS12 item decrypt d2i ex(). Isso pode levar a uma negação de serviço, causando uma falha do aplicativo ao processar arquivos PKCS#12. O problema ocorre porque a função PKCS12 item decrypt d2i ex() não valida se o parâmetro oct é NULL antes de dereferenciá-lo. Quando chamada a partir de PKCS12 unpack p7encdata() com um arquivo PKCS#12 criado especificamente para exploração, esse parâmetro pode ser NULL, resultando em uma falha. A vulnerabilidade é limitada à negação de serviço e não pode ser utilizada para execução de código ou divulgação de memória. A exploração requer que um atacante forneça um arquivo PKCS#12 malformado a um aplicativo que o processe.

Recomendações OpenSSL versão 1.0.2: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. OpenSSL versão 1.1.1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade. OpenSSL versões 3.0 a 3.6: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.