Plataforma
go
Componente
oxia-db
Corregido en
0.16.3
0.16.2
La vulnerabilidad CVE-2026-40944 afecta a Oxia, una herramienta escrita en Go. Esta falla se encuentra en la función trustedCertPool() del módulo TLS, que solo procesa el primer bloque PEM de los archivos de certificados de CA. Esto impide la validación correcta de las cadenas de certificados en implementaciones de mTLS, afectando a versiones 0.0.0 hasta la 0.16.2. La solución es actualizar a la versión 0.16.2.
El impacto principal de esta vulnerabilidad radica en la imposibilidad de utilizar mTLS de manera efectiva en entornos que requieren cadenas de certificados (CA intermedia + CA raíz). Los clientes legítimos que presentan certificados correctamente encadenados son rechazados con un error x509: certificate signed by unknown authority. Esto degrada significativamente la postura de seguridad, ya que esencialmente inutiliza mTLS. La vulnerabilidad no permite la falsificación de certificados, pero sí impide que los clientes con certificados válidos sean autenticados, lo que puede interrumpir servicios y afectar la disponibilidad. La falta de validación adecuada abre la puerta a ataques de denegación de servicio (DoS) al sobrecargar el sistema con intentos de conexión rechazados.
La vulnerabilidad fue publicada el 2026-04-21. No se ha reportado su inclusión en el KEV de CISA. No se conocen públicamente pruebas de concepto (PoCs) activas. La probabilidad de explotación se considera baja debido a la necesidad de comprender la configuración de TLS y la arquitectura de la aplicación para aprovecharla. Se recomienda monitorear la actividad en los sistemas Oxia para detectar cualquier comportamiento anómalo.
Organizations deploying Oxia for mTLS authentication, particularly those using CA certificate bundles containing intermediate certificates, are at risk. This includes environments utilizing Oxia as a service gateway or within microservice architectures where mTLS is employed for secure communication between services.
• linux / server:
journalctl -u oxia | grep 'x509: certificate signed by unknown authority'• generic web:
curl -I https://your-oxia-service.com # Check for mTLS errors in the response headersdisclosure
Estado del Exploit
EPSS
0.03% (9% percentil)
CISA SSVC
La mitigación principal para CVE-2026-40944 es actualizar a la versión 0.16.2 de Oxia, que corrige la vulnerabilidad. Si la actualización no es inmediatamente posible, se recomienda revisar la configuración de TLS para asegurar que los archivos de certificado de CA contengan solo el certificado raíz, eliminando los certificados intermedios. Aunque esto permite la conexión, no es una solución ideal ya que reduce la seguridad. En entornos con proxies o balanceadores de carga, se puede configurar para agregar los certificados intermedios faltantes a la cadena de certificados del cliente. Verifique después de la actualización que la validación de certificados mTLS funcione correctamente con clientes que utilizan cadenas de certificados.
Actualice a la versión 0.16.2 o superior para corregir la validación de la cadena de certificados TLS. Esta actualización asegura que todos los certificados en el bundle PEM se carguen correctamente, evitando fallos en la validación de mTLS.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-40944 is a vulnerability in Oxia versions 0.0.0 - < 0.16.2 where only the first certificate in a CA bundle is parsed, breaking mTLS certificate chain validation.
You are affected if you are using Oxia versions 0.0.0 - < 0.16.2 and rely on mTLS with CA certificate bundles containing multiple certificates.
Upgrade Oxia to version 0.16.2 or later. As a temporary workaround, ensure your CA certificate files contain only the root CA certificate.
There is currently no evidence of active exploitation of CVE-2026-40944.
Refer to the Oxia project's official release notes and security advisories for details on CVE-2026-40944.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.
Sube tu archivo go.mod y te decimos al instante si estás afectado.