Scanner gratuitement
MEDIUMCVE-2026-40944

Oxia: La validation de la chaîne de certificat CA TLS échoue avec des bundles PEM multi-certificats

Plateforme

go

Composant

oxia-db

Corrigé dans

0.16.3

0.16.2

AI Confidence: highNVDEPSS 0.0%Révisé: mai 2026
Voir sur NVD
Sauvegarder

La vulnérabilité CVE-2026-40944 affecte Oxia, une bibliothèque TLS en Go. Elle se manifeste par une analyse incorrecte des fichiers de certificats CA, ne considérant que le premier bloc PEM. Cette limitation compromet la validation de la chaîne de certificats dans les configurations mTLS, entraînant des rejets de connexions légitimes. La version corrigée est 0.16.2.

Go

Détecte cette CVE dans ton projet

Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.

Téléverser go.mod

Impact et Scénarios d'Attaque

L'impact principal de cette vulnérabilité réside dans l'incapacité d'utiliser mTLS avec des chaînes de certificats standard (certificat intermédiaire + certificat racine). Les clients légitimes, disposant de certificats correctement chaînés, seront rejetés avec l'erreur x509: certificate signed by unknown authority. Cela dégrade significativement la posture de sécurité, rendant mTLS inutilisable dans ces configurations. Les systèmes qui dépendent de mTLS pour l'authentification et le chiffrement des communications sont particulièrement vulnérables. Une attaque réussie pourrait permettre à un attaquant de se faire passer pour un client légitime, contournant ainsi les mécanismes de sécurité mis en place.

Contexte d'Exploitation

Cette vulnérabilité a été rendue publique le 2026-04-21. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible, car elle nécessite une compréhension approfondie de la configuration TLS et de la bibliothèque Oxia. Elle n'est pas répertoriée sur le KEV de CISA.

Qui Est à Risquetraduction en cours…

Organizations deploying Oxia for mTLS authentication, particularly those using CA certificate bundles containing intermediate certificates, are at risk. This includes environments utilizing Oxia as a service gateway or within microservice architectures where mTLS is employed for secure communication between services.

Étapes de Détectiontraduction en cours…

• linux / server:

journalctl -u oxia | grep 'x509: certificate signed by unknown authority'

• generic web:

curl -I https://your-oxia-service.com  # Check for mTLS errors in the response headers

Chronologie de l'Attaque

  1. Disclosure

    disclosure

Renseignement sur les Menaces

Statut de l'Exploit

Preuve de ConceptInconnu
CISA KEVNO

EPSS

0.03% (percentile 9%)

CISA SSVC

Exploitationnone
Automatisableyes
Impact Techniquepartial

Logiciel Affecté

Composantoxia-db
Fournisseuroxia-db
Plage affectéeCorrigé dans
< 0.16.2 – < 0.16.20.16.3
0.16.2

Classification de Faiblesse (CWE)

CWE-295

Chronologie

  1. Réservé
  2. Publiée
  3. Modifiée
  4. EPSS mis à jour

Mitigation et Contournements

La mitigation immédiate consiste à mettre à jour Oxia vers la version 0.16.2 ou supérieure, où le problème a été corrigé. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire pourrait consister à s'assurer que les fichiers de certificats CA ne contiennent qu'un seul certificat (par exemple, uniquement le certificat racine). Cependant, cette approche est déconseillée car elle réduit la robustesse de la validation des certificats. Il n'existe pas de règles WAF ou de signatures Sigma/YARA spécifiques à cette vulnérabilité, car elle est liée à une erreur de parsing interne à la bibliothèque.

Comment corrigertraduction en cours…

Actualice a la versión 0.16.2 o superior para corregir la validación de la cadena de certificados TLS. Esta actualización asegura que todos los certificados en el bundle PEM se carguen correctamente, evitando fallos en la validación de mTLS.

Newsletter Sécurité CVE

Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.

Questions fréquentestraduction en cours…

What is CVE-2026-40944 — TLS Certificate Chain Validation in Oxia?

CVE-2026-40944 is a vulnerability in Oxia versions 0.0.0 - < 0.16.2 where only the first certificate in a CA bundle is parsed, breaking mTLS certificate chain validation.

Am I affected by CVE-2026-40944 in Oxia?

You are affected if you are using Oxia versions 0.0.0 - < 0.16.2 and rely on mTLS with CA certificate bundles containing multiple certificates.

How do I fix CVE-2026-40944 in Oxia?

Upgrade Oxia to version 0.16.2 or later. As a temporary workaround, ensure your CA certificate files contain only the root CA certificate.

Is CVE-2026-40944 being actively exploited?

There is currently no evidence of active exploitation of CVE-2026-40944.

Where can I find the official Oxia advisory for CVE-2026-40944?

Refer to the Oxia project's official release notes and security advisories for details on CVE-2026-40944.

Ton projet est-il affecté ?

Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.

Scanner gratuitementRechercher des CVE