PT-2026-4954 · Openssl+6 · Openssl 1.1.1+16
Bob Beck
+1
·
Publicado
2026-01-01
·
Atualizado
2026-05-03
·
CVE-2026-22795
CVSS v3.1
5.5
Média
| Vetor | AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
OpenSSL versões 1.1.1, 3.0, 3.3, 3.4 e 3.5
OpenSSL versões 3.6 até 3.6.0
Descrição
Pode ocorrer uma desreferênciação de ponteiro inválido ou NULL em aplicativos que processam arquivos PKCS#12 malformados. Isso pode levar a uma negação de serviço quando um aplicativo tenta ler de um ponteiro inválido ou NULL na memória. O problema decorre de uma confusão de tipos no código de análise PKCS#12, em que um membro da união ASN1 TYPE é acessado sem validação prévia do tipo, resultando em uma leitura de ponteiro inválido. A vulnerabilidade está limitada a um espaço de endereçamento de 1 byte, o que normalmente resulta em uma falha devido à memória não mapeada em sistemas operacionais modernos. A exploração requer o processamento de um arquivo PKCS#12 maliciosamente elaborado.
Recomendações
OpenSSL versão 1.1.1: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
OpenSSL versões 3.0, 3.3 e 3.4: No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
OpenSSL versões 3.5 até 3.5.4: Atualize para a versão 3.5.5.
OpenSSL versões 3.6 até 3.6.0: Atualize para a versão 3.6.1.
DoS
Improper Check for Exceptional Conditions
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Freebsd
Ibm Aix
Linuxmint
Openssl 1.1.1
Openssl 3.0
Openssl 3.3
Openssl 3.4
Openssl 3.5
Openssl 3.5.4
Openssl 3.5.5
Openssl 3.6
Openssl 3.6.0
Openssl 3.6.1
Openssl
Red Os
Rocky Linux
Ubuntu