Plateforme
go
Composant
oxia-db
Corrigé dans
0.16.3
0.16.2
La vulnérabilité CVE-2026-40944 affecte Oxia, une bibliothèque TLS en Go. Elle se manifeste par une analyse incorrecte des fichiers de certificats CA, ne considérant que le premier bloc PEM. Cette limitation compromet la validation de la chaîne de certificats dans les configurations mTLS, entraînant des rejets de connexions légitimes. La version corrigée est 0.16.2.
L'impact principal de cette vulnérabilité réside dans l'incapacité d'utiliser mTLS avec des chaînes de certificats standard (certificat intermédiaire + certificat racine). Les clients légitimes, disposant de certificats correctement chaînés, seront rejetés avec l'erreur x509: certificate signed by unknown authority. Cela dégrade significativement la posture de sécurité, rendant mTLS inutilisable dans ces configurations. Les systèmes qui dépendent de mTLS pour l'authentification et le chiffrement des communications sont particulièrement vulnérables. Une attaque réussie pourrait permettre à un attaquant de se faire passer pour un client légitime, contournant ainsi les mécanismes de sécurité mis en place.
Cette vulnérabilité a été rendue publique le 2026-04-21. Il n'y a pas d'indication d'une exploitation active à ce jour. La probabilité d'exploitation est considérée comme faible, car elle nécessite une compréhension approfondie de la configuration TLS et de la bibliothèque Oxia. Elle n'est pas répertoriée sur le KEV de CISA.
Organizations deploying Oxia for mTLS authentication, particularly those using CA certificate bundles containing intermediate certificates, are at risk. This includes environments utilizing Oxia as a service gateway or within microservice architectures where mTLS is employed for secure communication between services.
• linux / server:
journalctl -u oxia | grep 'x509: certificate signed by unknown authority'• generic web:
curl -I https://your-oxia-service.com # Check for mTLS errors in the response headersdisclosure
Statut de l'Exploit
EPSS
0.03% (percentile 9%)
CISA SSVC
La mitigation immédiate consiste à mettre à jour Oxia vers la version 0.16.2 ou supérieure, où le problème a été corrigé. Si la mise à jour n'est pas possible immédiatement, une solution de contournement temporaire pourrait consister à s'assurer que les fichiers de certificats CA ne contiennent qu'un seul certificat (par exemple, uniquement le certificat racine). Cependant, cette approche est déconseillée car elle réduit la robustesse de la validation des certificats. Il n'existe pas de règles WAF ou de signatures Sigma/YARA spécifiques à cette vulnérabilité, car elle est liée à une erreur de parsing interne à la bibliothèque.
Actualice a la versión 0.16.2 o superior para corregir la validación de la cadena de certificados TLS. Esta actualización asegura que todos los certificados en el bundle PEM se carguen correctamente, evitando fallos en la validación de mTLS.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-40944 is a vulnerability in Oxia versions 0.0.0 - < 0.16.2 where only the first certificate in a CA bundle is parsed, breaking mTLS certificate chain validation.
You are affected if you are using Oxia versions 0.0.0 - < 0.16.2 and rely on mTLS with CA certificate bundles containing multiple certificates.
Upgrade Oxia to version 0.16.2 or later. As a temporary workaround, ensure your CA certificate files contain only the root CA certificate.
There is currently no evidence of active exploitation of CVE-2026-40944.
Refer to the Oxia project's official release notes and security advisories for details on CVE-2026-40944.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier go.mod et nous te dirons instantanément si tu es affecté.