Plataforma
other
Componente
public_key
Corrigido em
*
*
*
*
A vulnerabilidade CVE-2026-32144, classificada como bypass de validação de certificado, reside no módulo pubkeyocsp da biblioteca publickey do Erlang OTP. Essa falha permite que um atacante contorne a autorização do respondedor OCSP, comprometendo a integridade da validação de certificados. A vulnerabilidade afeta versões 1.16.0 e superiores do Erlang OTP. Uma correção já foi disponibilizada.
A exploração bem-sucedida desta vulnerabilidade permite que um atacante intercepte ou controle as respostas OCSP (Online Certificate Status Protocol). Ao manipular as respostas OCSP, o atacante pode induzir o sistema a aceitar certificados inválidos ou comprometidos como válidos. Isso pode levar a ataques de 'man-in-the-middle', onde o atacante pode interceptar e descriptografar comunicações confidenciais entre o sistema e outros servidores. A ausência de verificação de assinatura no processo de validação do respondedor OCSP é a raiz do problema, abrindo uma brecha para a falsificação de respostas OCSP. A amplitude do impacto depende da criticidade dos sistemas que utilizam o Erlang OTP e da exposição das comunicações a interceptações.
A vulnerabilidade foi divulgada em 2026-04-07. Não há informações disponíveis sobre a inclusão em KEV ou a pontuação EPSS. Atualmente, não há provas públicas de um Proof of Concept (PoC) amplamente divulgado, mas a natureza da vulnerabilidade a torna um alvo potencial para exploração. É recomendável monitorar as fontes de inteligência de ameaças para detectar possíveis campanhas de exploração.
Applications and systems utilizing Erlang OTP versions 1.16.0 and later for certificate validation, particularly those handling sensitive data or operating in untrusted network environments, are at risk. This includes systems relying on Erlang OTP for TLS/SSL connections and those integrated with third-party services that require certificate verification.
disclosure
Status do Exploit
EPSS
0.04% (percentil 14%)
CISA SSVC
A mitigação primária para CVE-2026-32144 é a atualização para uma versão corrigida do Erlang OTP. Como a correção está disponível em uma versão não especificada, é crucial verificar a documentação oficial do Erlang OTP para a versão mais recente e estável. Em ambientes onde a atualização imediata não é possível, considere implementar medidas de segurança adicionais, como o fortalecimento do controle de acesso à rede para limitar a capacidade de um atacante interceptar o tráfego OCSP. Monitore logs de sistema em busca de atividades suspeitas relacionadas à validação de certificados. Após a atualização, confirme a correção verificando a integridade das respostas OCSP recebidas.
Atualize a biblioteca (library) public_key para a versão 1.20.4 ou superior, ou a biblioteca ssl para a versão 11.5.5 ou superior, ou OTP para a versão 28.4.3 ou superior para mitigar a vulnerabilidade. A atualização corrige a falta de verificação da assinatura nas respostas OCSP, prevenindo a falsificação de certificados.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-32144 é uma vulnerabilidade que permite contornar a validação de certificados no Erlang OTP public_key, permitindo que um atacante manipule as respostas OCSP e potencialmente realize ataques de 'man-in-the-middle'.
Se você estiver utilizando Erlang OTP versão 1.16.0 ou superior, você pode estar afetado. Verifique a documentação oficial para determinar se sua versão específica é vulnerável e para obter instruções de atualização.
A correção primária é atualizar para a versão mais recente do Erlang OTP. Consulte a documentação oficial para obter instruções de atualização específicas para sua plataforma.
Atualmente, não há evidências públicas de exploração ativa, mas a vulnerabilidade é considerada um alvo potencial e deve ser corrigida o mais rápido possível.
Consulte o site oficial do Erlang OTP e as fontes de segurança para obter o advisory oficial e informações adicionais sobre a vulnerabilidade.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.