Platform
openssl
Component
openssl
Opgelost in
3.6.2
CVE-2026-28386 beschrijft een Denial of Service (DoS) kwetsbaarheid in OpenSSL. Deze kwetsbaarheid treedt op wanneer AES-CFB128 encryptie of decryptie wordt gebruikt op systemen met AVX-512 en VAES ondersteuning, wat kan leiden tot een out-of-bounds read. De kwetsbaarheid beïnvloedt OpenSSL versies 3.6.0 tot en met 3.6.2. Een upgrade naar versie 3.6.2 is beschikbaar om dit probleem te verhelpen.
Een succesvolle exploitatie van CVE-2026-28386 kan leiden tot een Denial of Service (DoS) aanval. Een aanvaller kan een speciaal ontworpen input genereren die een out-of-bounds read triggert, waardoor de OpenSSL bibliotheek crasht. Dit kan de beschikbaarheid van applicaties die OpenSSL gebruiken aanzienlijk beïnvloeden. De kwetsbaarheid is specifiek voor systemen die zowel AVX-512 als VAES ondersteunen, wat de potentiële impact beperkt tot systemen met moderne processoren. Hoewel er geen informatielek is, kan de crash van OpenSSL leiden tot het verlies van data of de noodzaak om diensten te herstarten, wat resulteert in downtime en operationele verstoringen.
De kwetsbaarheid is openbaar bekend gemaakt op 2026-04-07. Er is momenteel geen informatie beschikbaar over actieve exploitatiecampagnes. De ernst van de kwetsbaarheid wordt nog geëvalueerd. Er zijn geen publicaties van Proof-of-Concept (POC) code beschikbaar op het moment van schrijven. Het is aan te raden om de updates van NVD en CISA te volgen voor verdere informatie.
Exploit Status
EPSS
0.07% (21% percentiel)
De primaire mitigatie voor CVE-2026-28386 is het upgraden naar OpenSSL versie 3.6.2 of hoger. Indien een directe upgrade niet mogelijk is, kan het implementeren van een Web Application Firewall (WAF) of proxy helpen om kwaadaardige input te filteren die de kwetsbare code pad activeert. Het is belangrijk om te controleren of de AVX-512 en VAES instructiesets zijn uitgeschakeld in de OpenSSL configuratie, indien mogelijk. Na de upgrade, verifieer de correcte werking van de OpenSSL bibliotheek door een reeks encryptie- en decryptie-operaties uit te voeren en te controleren op onverwachte crashes of fouten.
Actualice a OpenSSL versión 3.6.2 o superior para mitigar la vulnerabilidad. Esta actualización corrige un error de lectura fuera de límites en el modo AES-CFB-128 que puede causar una denegación de servicio en sistemas x86-64 con AVX-512 y VAES.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
AES-CFB128 is a mode of operation for the AES block cipher using a 128-bit block. It's a block cipher mode used to protect sensitive data.
AVX-512 is a set of instruction set extensions for x86 processors that allows vectorized operations on 512-bit data. VAES is an AVX-512 extension providing accelerated instructions for AES encryption.
Verify the OpenSSL version installed on your system. If you're using a version prior to 3.6.2, you are vulnerable. You can use the command openssl version in the command line.
Temporary workarounds are not recommended. Upgrading to the patched version is the best option. Avoiding AES-CFB128 usage on vulnerable systems could be an option, but might affect application functionality.
If you cannot update immediately, monitor your systems for suspicious activity and consider implementing additional security measures, such as firewalls and intrusion detection systems.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.