Platform
openssl
Component
openssl
Opgelost in
3.6.2
CVE-2026-34054 is een beveiligingslek in OpenSSL, specifiek in de Windows builds van vcpkg. Voor versie 3.6.1#3 stelde vcpkg de openssldir in op een pad op de buildmachine, waardoor dit pad later op klantmachines aanvalbaar werd. Dit kan leiden tot ongeautoriseerde toegang of manipulatie van OpenSSL-bestanden. De kwetsbaarheid treft versies lager dan 3.6.1#3. Het probleem is verholpen in versie 3.6.1#3.
CVE-2026-34054 heeft betrekking op Windows-builds van OpenSSL die worden beheerd door vcpkg, een gratis en open-source C/C++-pakketbeheerder. Voor versie 3.6.1#3 stelde vcpkg de variabele openssldir in op een pad op de build-machine. Dit betekende dat dit pad, en mogelijk de bijbehorende OpenSSL-configuratie, tijdens de software-installatie naar klantmachines kon worden overgedragen. Een aanvaller zou dit theoretisch kunnen uitbuiten om de beveiliging van een applicatie te compromitteren als het pad verkeerd wordt gebruikt of als ongeautoriseerde toegang tot het pad mogelijk is. De CVSS-score van 7.8 duidt op een kwetsbaarheid met een matige ernst.
Het exploiteren van deze kwetsbaarheid vereist toegang tot de build-machine of de mogelijkheid om het vcpkg-buildproces te beïnvloeden. Een aanvaller zou de OpenSSL-configuratie op de build-machine kunnen wijzigen en vervolgens gecompromitteerde software distribueren die vcpkg gebruikt. Zodra de software op een klantmachine is geïnstalleerd, kan deze kwetsbaar zijn als het openssldir-pad op een onveilige manier wordt gebruikt. Het risico wordt vergroot als het pad naar een netwerk toegankelijke map wijst of als schrijftoegang tot die map is toegestaan. Hoewel directe exploitatie op de klantmachine minder waarschijnlijk is, is het risico van compromittering tijdens de build en distributie aanzienlijk.
Organizations that utilize vcpkg for building C/C++ applications on Windows, particularly those relying on OpenSSL for secure communication or data encryption, are at risk. This includes developers, DevOps teams, and system administrators involved in the build and deployment pipelines. Shared hosting environments where multiple users build applications using a common vcpkg installation are also particularly vulnerable.
• windows / supply-chain:
Get-ChildItem -Path "C:\Program Files\vcpkg\installed\x64-windows\bin\openssl.exe" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName• linux / server:
find / -name "openssl.cnf" -print 2>/dev/null• generic web:
curl -I https://example.com | grep openssldirdisclosure
Exploit Status
EPSS
0.07% (21% percentiel)
CISA SSVC
CVSS-vector
De oplossing voor dit probleem is om vcpkg te updaten naar versie 3.6.1#3 of hoger. Deze versie corrigeert de onjuiste instelling van openssldir en zorgt ervoor dat het pad correct wordt ingesteld tijdens het installatieproces, waardoor de overdracht van het build-machinepad naar klantmachines wordt voorkomen. Het wordt ten zeerste aanbevolen om vcpkg zo snel mogelijk te updaten om dit risico te beperken. Controleer bovendien de afhankelijkheden van uw project om ervoor te zorgen dat ze een veilige versie van vcpkg en OpenSSL gebruiken. De update is de belangrijkste stap om uzelf te beschermen tegen deze kwetsbaarheid.
Werk vcpkg bij naar versie 3.6.1#3 of hoger. Dit zorgt ervoor dat OpenSSL-compilaties in Windows niet kwetsbaar zijn voor padmanipulatie.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
vcpkg is een C/C++-pakketbeheerder die het beheer van afhankelijkheden in softwareprojecten vereenvoudigt.
U kunt vcpkg bijwerken met de opdracht vcpkg upgrade in de opdrachtregel.
Niet noodzakelijk. De impact hangt af van hoe OpenSSL en het openssldir-pad in de applicatie worden gebruikt.
Momenteel zijn er geen specifieke tools om deze kwetsbaarheid te detecteren. De beste manier is om de versie van vcpkg die u gebruikt te controleren.
Overweeg extra beveiligingsmaatregelen te implementeren, zoals het beperken van de toegang tot de build-machine en het controleren van de OpenSSL-configuratie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.