प्लेटफ़ॉर्म
c
घटक
botan
में ठीक किया गया
3.11.1
CVE-2026-34580 Botan क्रिप्टोग्राफी लाइब्रेरी में एक प्रमाणीकरण बाईपास भेद्यता है। यह भेद्यता प्रमाणपत्र सत्यापन प्रक्रिया में एक त्रुटि के कारण होती है, जिससे हमलावर अनधिकृत पहुंच प्राप्त कर सकते हैं। यह भेद्यता Botan 3.11.0 और उससे पहले के संस्करणों को प्रभावित करती है। इस समस्या को Botan 3.11.1 में ठीक किया गया है।
यह भेद्यता हमलावरों को प्रमाणपत्र सत्यापन प्रक्रिया को बायपास करने और अनधिकृत पहुंच प्राप्त करने की अनुमति दे सकती है। हमलावर संवेदनशील डेटा तक पहुंच सकते हैं, सिस्टम को दूषित कर सकते हैं, या अन्य दुर्भावनापूर्ण गतिविधियां कर सकते हैं। चूंकि Botan कई अनुप्रयोगों और प्रणालियों में उपयोग किया जाता है, इसलिए इस भेद्यता का व्यापक प्रभाव हो सकता है। यह भेद्यता प्रमाणपत्रों की पहचान और सत्यापन में त्रुटियों के कारण होती है, जिससे हमलावर वैध प्रमाणपत्रों के रूप में अमान्य प्रमाणपत्र प्रस्तुत कर सकते हैं।
यह भेद्यता अभी तक सक्रिय रूप से शोषण किए जाने की पुष्टि नहीं की गई है, लेकिन सार्वजनिक रूप से उपलब्ध विवरणों के आधार पर इसका शोषण किया जा सकता है। इस भेद्यता को CISA KEV (Known Exploited Vulnerabilities) सूची में जोड़ा जा सकता है यदि इसका सक्रिय रूप से शोषण किया जाना पाया जाता है। सार्वजनिक रूप से उपलब्ध प्रमाण-अवधारणा (PoC) अभी तक नहीं देखा गया है, लेकिन भेद्यता की प्रकृति के कारण इसका विकास संभव है।
Applications and systems relying on Botan 3.11.0 for certificate validation are at risk. This includes systems using Botan for TLS/SSL connections, digital signatures, and other cryptographic operations. Specifically, developers who have integrated Botan into custom applications or embedded systems are particularly vulnerable.
• linux / server: Examine Botan library usage within your applications. Use ldd to identify applications linking to Botan. Then, inspect the application's code for calls to CertificateStore::certificateknown.
ldd /path/to/application | grep botan• generic web: If Botan is used in a web server or application, review the server's configuration for certificate pinning or other validation mechanisms. Check for unusual certificate chains or certificate errors in the server's logs.
• c: Review Botan library integration points in your C/C++ applications. Look for code that relies on CertificateStore::certificateknown for certificate validation.
disclosure
एक्सप्लॉइट स्थिति
EPSS
0.03% (9% शतमक)
CISA SSVC
इस भेद्यता को कम करने के लिए, Botan के प्रभावित संस्करणों को 3.11.1 या बाद के संस्करण में तुरंत अपडेट करें। यदि अपग्रेड करना संभव नहीं है, तो एक अस्थायी समाधान के रूप में, प्रमाणपत्र सत्यापन प्रक्रिया को मजबूत करने के लिए WAF (वेब एप्लिकेशन फ़ायरवॉल) नियमों को लागू किया जा सकता है। सुनिश्चित करें कि प्रमाणपत्रों की वैधता को सत्यापित करने के लिए अतिरिक्त जांच लागू की गई है। अपग्रेड के बाद, प्रमाणपत्र सत्यापन प्रक्रिया को सत्यापित करके पुष्टि करें कि यह ठीक से काम कर रही है।
Botan लाइब्रेरी को संस्करण 3.11.1 या बाद के संस्करण में अपडेट करें ताकि भेद्यता कम हो सके। यह अपडेट एक ऐसे त्रुटि को ठीक करता है जो प्रमाणपत्र सत्यापन में था, जिसने एंड-एंटिटी प्रमाणपत्रों को विश्वसनीय रूट प्रमाणपत्रों के रूप में स्वीकार करने की अनुमति दी।
भेद्यता विश्लेषण और गंभीर अलर्ट सीधे आपके ईमेल में।
CVE-2026-34580 Botan क्रिप्टोग्राफी लाइब्रेरी में एक प्रमाणीकरण बाईपास भेद्यता है जो प्रमाणपत्र सत्यापन प्रक्रिया में त्रुटि के कारण होती है।
यदि आप Botan 3.11.0 या उससे पहले के संस्करण का उपयोग कर रहे हैं, तो आप इस भेद्यता से प्रभावित हैं।
इस भेद्यता को ठीक करने के लिए, Botan के प्रभावित संस्करणों को 3.11.1 या बाद के संस्करण में तुरंत अपडेट करें।
अभी तक सक्रिय शोषण की पुष्टि नहीं हुई है, लेकिन इसका शोषण किया जा सकता है।
आधिकारिक सलाहकार के लिए Botan प्रोजेक्ट वेबसाइट देखें।
अपनी डिपेंडेंसी फ़ाइल अपलोड करें और तुरंत जानें कि यह CVE और अन्य आपको प्रभावित करती हैं या नहीं।