Plataforma
openssl
Componente
openssl
Corrigido em
3.6.2
A vulnerabilidade CVE-2026-34054 refere-se a uma configuração inadequada no OpenSSL do vcpkg, onde o openssldir é definido para um caminho na máquina de construção, tornando-o vulnerável em máquinas de clientes. Essa falha pode permitir que atacantes explorem o caminho configurado. Afeta versões do vcpkg anteriores à 3.6.1#3. A vulnerabilidade foi corrigida na versão 3.6.1#3.
A CVE-2026-34054 afeta as compilações do Windows do OpenSSL gerenciadas pelo vcpkg, um gerenciador de pacotes C/C++ de código aberto. Antes da versão 3.6.1#3, o vcpkg configurava a variável openssldir para um caminho na máquina de compilação. Isso significava que esse caminho, e potencialmente a configuração associada do OpenSSL, poderia ser transferido para as máquinas dos clientes durante a instalação do software. Um atacante poderia, em teoria, explorar isso para comprometer a segurança do aplicativo se o caminho for usado incorretamente ou se o acesso não autorizado a ele for permitido. A pontuação CVSS de 7,8 indica uma vulnerabilidade de severidade moderada.
A exploração desta vulnerabilidade requer acesso à máquina de compilação ou a capacidade de influenciar o processo de compilação do vcpkg. Um atacante poderia modificar a configuração do OpenSSL na máquina de compilação e, em seguida, distribuir software comprometido que utilize o vcpkg. Uma vez instalado numa máquina cliente, o software poderá ser vulnerável se o caminho openssldir for usado de forma insegura. O risco é agravado se o caminho apontar para um diretório acessível através da rede ou se for permitido a escrita nesse diretório. Embora a exploração direta na máquina cliente seja menos provável, o risco de comprometimento durante a compilação e distribuição é significativo.
Organizations that utilize vcpkg for building C/C++ applications on Windows, particularly those relying on OpenSSL for secure communication or data encryption, are at risk. This includes developers, DevOps teams, and system administrators involved in the build and deployment pipelines. Shared hosting environments where multiple users build applications using a common vcpkg installation are also particularly vulnerable.
• windows / supply-chain:
Get-ChildItem -Path "C:\Program Files\vcpkg\installed\x64-windows\bin\openssl.exe" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName• linux / server:
find / -name "openssl.cnf" -print 2>/dev/null• generic web:
curl -I https://example.com | grep openssldirdisclosure
Status do Exploit
EPSS
0.07% (percentil 21%)
CISA SSVC
Vetor CVSS
A solução para este problema é atualizar o vcpkg para a versão 3.6.1#3 ou superior. Esta versão corrige a configuração incorreta de openssldir e garante que o caminho seja definido corretamente durante o processo de instalação, evitando a transferência do caminho da máquina de compilação para as máquinas dos clientes. Recomenda-se fortemente atualizar o vcpkg o mais rápido possível para mitigar este risco. Além disso, revise as dependências do seu projeto para garantir que estão a usar uma versão segura do vcpkg e OpenSSL. A atualização é o passo mais importante para se proteger contra esta vulnerabilidade.
Actualice vcpkg a la versión 3.6.1#3 o posterior. Esto asegura que las compilaciones de OpenSSL en Windows no sean vulnerables a la manipulación de la ruta de búsqueda.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
vcpkg é um gerenciador de pacotes C/C++ que simplifica o gerenciamento de dependências em projetos de software.
Você pode atualizar o vcpkg usando o comando vcpkg upgrade na linha de comando.
Não necessariamente. O impacto depende de como o OpenSSL e o caminho openssldir são usados no aplicativo.
Atualmente, não existem ferramentas específicas para detectar esta vulnerabilidade. A melhor maneira é verificar a versão do vcpkg que você está usando.
Considere implementar medidas de segurança adicionais, como restringir o acesso à máquina de compilação e revisar a configuração do OpenSSL.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.