PT-2026-54772 · Erlang · Quic

Publicado

2026-07-01

·

Atualizado

2026-07-01

·

CVE-2026-49457

CVSS v3.1

9.1

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas erlang/quic versões anteriores a 1.4.4
Descrição O cliente QUIC não autentica o servidor durante o handshake TLS 1.3. Especificamente, o processo verify é ineficaz porque a assinatura CertificateVerify não é verificada, a cadeia de certificados não é validada e o hostname não é comparado com o certificado. Isso permite que um atacante man-in-the-middle apresente qualquer certificado e se passe por qualquer servidor, comprometendo a confidencialidade e a integridade da conexão. O HTTP/3 também é afetado, pois utiliza o mesmo cliente. Handshakes autenticados por uma Chave Pré-Compartilhada (PSK), usados para retomada de sessão, não são afetados, pois o peer é autenticado pelo binder da PSK e nenhum certificado é transmitido.
Recomendações Atualizar para a versão 1.4.4.

Correção

Improper Certificate Validation

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-49457
GHSA-2R8V-P65X-3663

Produtos afetados

Quic