PT-2026-60113 · Unknown · Nebula-Mesh

Publicado

2026-07-14

·

Atualizado

2026-07-15

·

CVE-2026-61699

CVSS v3.1

8.1

Alta

VetorAV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
Nome do Software Vulnerável e Versões Afetadas nebula-mesh (versões afetadas não especificadas)
Descrição A revogação de certificados não é aplicada na malha (mesh) porque o agente falha ao processar a lista de bloqueio (blocklist) fornecida pelo servidor. Embora o servidor compute e envie corretamente a lista de bloqueio por CA através do endpoint GET /api/v1/agent/updates, o agente decodifica o campo blocklist e subsequentemente o descarta sem aplicá-lo à configuração. Além disso, o gerador de configuração não possui os campos necessários para emitir a pki.blocklist no arquivo config.yml.
Consequentemente, um host que foi bloqueado, removido ou comprometido permanece capaz de estabelecer handshakes bem-sucedidos com seus pares durante o restante da validade de seu certificado, que pode ser de até 30 dias para hosts de agente e 365 dias para hosts móveis. Um invasor que possua a host.key e o host.crt pode manter a conectividade total de sobreposição (overlay) com a malha, mesmo após o operador ter revogado o host na interface do usuário ou API.
Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-61699
GHSA-CM26-5974-52H8

Produtos afetados

Nebula-Mesh