PT-2026-60113 · Unknown · Nebula-Mesh
Publicado
2026-07-14
·
Atualizado
2026-07-15
·
CVE-2026-61699
CVSS v3.1
8.1
Alta
| Vetor | AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N |
Nome do Software Vulnerável e Versões Afetadas
nebula-mesh (versões afetadas não especificadas)
Descrição
A revogação de certificados não é aplicada na malha (mesh) porque o agente falha ao processar a lista de bloqueio (blocklist) fornecida pelo servidor. Embora o servidor compute e envie corretamente a lista de bloqueio por CA através do endpoint
GET /api/v1/agent/updates, o agente decodifica o campo blocklist e subsequentemente o descarta sem aplicá-lo à configuração. Além disso, o gerador de configuração não possui os campos necessários para emitir a pki.blocklist no arquivo config.yml.Consequentemente, um host que foi bloqueado, removido ou comprometido permanece capaz de estabelecer handshakes bem-sucedidos com seus pares durante o restante da validade de seu certificado, que pode ser de até 30 dias para hosts de agente e 365 dias para hosts móveis. Um invasor que possua a
host.key e o host.crt pode manter a conectividade total de sobreposição (overlay) com a malha, mesmo após o operador ter revogado o host na interface do usuário ou API.Recomendações
No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
Nebula-Mesh