Plateforme
other
Composant
public_key
Corrigé dans
*
*
*
*
La vulnérabilité CVE-2026-32144 affecte le module pubkeyocsp d'Erlang OTP publickey. Elle permet un contournement de l'autorisation du répondant OCSP (Online Certificate Status Protocol) en raison d'une validation incorrecte des certificats. Cette faille permet à un attaquant de créer des réponses OCSP frauduleuses, compromettant potentiellement la confiance dans les certificats. Les versions affectées sont 1.16.0 et toutes les versions ultérieures.
Cette vulnérabilité permet à un attaquant d'intercepter ou de contrôler les réponses OCSP. En l'absence de vérification de la signature du certificat du répondant OCSP, un attaquant peut créer un certificat auto-signé et le présenter comme un répondant légitime. Cela permettrait de falsifier l'état de révocation d'un certificat, induisant ainsi les applications utilisant Erlang OTP public_key à accepter un certificat compromis. L'impact est significatif car il peut conduire à des attaques de type man-in-the-middle, où l'attaquant peut intercepter et déchiffrer les communications sécurisées. Bien que la description ne mentionne pas d'exploitation active, la possibilité de contourner la validation OCSP ouvre la porte à des attaques similaires à celles observées dans d'autres systèmes de validation de certificats.
La vulnérabilité CVE-2026-32144 a été publiée le 2026-04-07. Il n'y a pas d'indication d'une entrée dans le KEV (Know Exploited Vulnerabilities) de CISA à ce jour. Aucun proof-of-concept public n'est connu à la date de cette analyse. La gravité de la vulnérabilité est en cours d'évaluation.
Applications and systems utilizing Erlang OTP versions 1.16.0 and later for certificate validation, particularly those handling sensitive data or operating in untrusted network environments, are at risk. This includes systems relying on Erlang OTP for TLS/SSL connections and those integrated with third-party services that require certificate verification.
disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 14%)
CISA SSVC
La correction officielle consiste à mettre à jour Erlang OTP vers une version corrigée. Étant donné que fixed_in est marqué comme '*', il est impératif de consulter les notes de publication d'Erlang pour identifier la version corrigée spécifique. En attendant la mise à jour, il est possible de renforcer la sécurité en limitant l'accès aux serveurs OCSP et en surveillant les journaux à la recherche d'activités suspectes. Il n'existe pas de règles WAF ou de configurations spécifiques à appliquer directement, la solution réside dans la mise à jour du composant Erlang OTP. Après la mise à jour, vérifiez la configuration de pubkey_ocsp pour vous assurer que la validation des certificats est correctement configurée et que les certificats des répondants OCSP sont valides.
Mettez à jour la bibliothèque (library) public_key à la version 1.20.4 ou supérieure, ou la bibliothèque ssl à la version 11.5.5 ou supérieure, ou OTP à la version 28.4.3 ou supérieure pour atténuer la vulnérabilité. La mise à jour corrige le manque de vérification de la signature dans les réponses OCSP, empêchant la falsification de certificats.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-32144 décrit une vulnérabilité dans le module pubkeyocsp d'Erlang OTP publickey qui permet de contourner la validation des certificats OCSP, compromettant potentiellement la sécurité des communications.
Si vous utilisez Erlang OTP public_key version 1.16.0 ou ultérieure, vous êtes potentiellement affecté par cette vulnérabilité. Vérifiez votre version et appliquez la correction.
La correction recommandée est de mettre à jour Erlang OTP vers une version corrigée. Consultez les notes de publication d'Erlang pour connaître la version spécifique.
À ce jour, il n'y a aucune indication d'exploitation active de CVE-2026-32144, mais la vulnérabilité présente un risque potentiel.
Consultez le site web officiel d'Erlang et les notes de publication pour obtenir des informations détaillées sur la correction et les versions affectées.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.