Plataforma
go
Componente
oxia-db
Corrigido em
0.16.3
0.16.2
A vulnerabilidade CVE-2026-40944 afeta o Oxia, uma biblioteca Go para comunicação segura. Devido a uma falha na função trustedCertPool(), apenas o primeiro bloco PEM de um arquivo de certificado CA é processado, ignorando certificados intermediários e raiz. Isso impede a validação correta da cadeia de certificados em conexões mTLS, comprometendo a segurança. A vulnerabilidade afeta versões do Oxia entre 0.0.0 e 0.16.2 (exclusiva) e foi corrigida na versão 0.16.2.
O impacto primário desta vulnerabilidade é a incapacidade de usar mTLS (Mutual TLS) com cadeias de certificados padrão. Em ambientes onde o Oxia é usado para autenticação mTLS, clientes legítimos que apresentam certificados com cadeias de certificados válidas (por exemplo, um certificado de cliente assinado por uma CA intermediária, que por sua vez é assinado pela CA raiz) serão rejeitados com o erro x509: certificate signed by unknown authority. Isso pode levar à interrupção de serviços, negação de acesso a recursos protegidos e, em cenários mais amplos, a uma degradação significativa da postura de segurança. A falha em validar a cadeia de certificados abre a porta para ataques de man-in-the-middle, onde um atacante pode interceptar e descriptografar o tráfego entre o cliente e o servidor.
A vulnerabilidade foi divulgada em 2026-04-21. Não há informações disponíveis sobre a adição a KEV (CISA Known Exploited Vulnerabilities) ou um EPSS (Exploit Prediction Scoring System) score. Atualmente, não há provas públicas de um Proof-of-Concept (PoC) amplamente disponível, mas a natureza da falha (validação de certificado) a torna suscetível a exploração. É crucial aplicar a correção o mais rápido possível para evitar possíveis ataques.
Organizations deploying Oxia for mTLS authentication, particularly those using CA certificate bundles containing intermediate certificates, are at risk. This includes environments utilizing Oxia as a service gateway or within microservice architectures where mTLS is employed for secure communication between services.
• linux / server:
journalctl -u oxia | grep 'x509: certificate signed by unknown authority'• generic web:
curl -I https://your-oxia-service.com # Check for mTLS errors in the response headersdisclosure
Status do Exploit
EPSS
0.03% (percentil 9%)
CISA SSVC
A mitigação primária para CVE-2026-40944 é atualizar o Oxia para a versão 0.16.2 ou superior, que corrige a falha. Se a atualização imediata não for possível devido a problemas de compatibilidade ou tempo de inatividade, considere as seguintes medidas temporárias: Verifique se a configuração do Oxia está corretamente configurada para usar a cadeia de certificados completa. Em alguns casos, pode ser possível concatenar todos os certificados CA em um único arquivo PEM. Implemente regras de firewall ou WAF (Web Application Firewall) para bloquear tráfego de fontes não confiáveis. Monitore os logs do sistema em busca de erros relacionados à validação de certificados. Após a atualização, confirme a correção validando a cadeia de certificados com um cliente mTLS que utilize uma cadeia de certificados completa.
Actualice a la versión 0.16.2 o superior para corregir la validación de la cadena de certificados TLS. Esta actualización asegura que todos los certificados en el bundle PEM se carguen correctamente, evitando fallos en la validación de mTLS.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2026-40944 is a vulnerability in Oxia versions 0.0.0 - < 0.16.2 where only the first certificate in a CA bundle is parsed, breaking mTLS certificate chain validation.
You are affected if you are using Oxia versions 0.0.0 - < 0.16.2 and rely on mTLS with CA certificate bundles containing multiple certificates.
Upgrade Oxia to version 0.16.2 or later. As a temporary workaround, ensure your CA certificate files contain only the root CA certificate.
There is currently no evidence of active exploitation of CVE-2026-40944.
Refer to the Oxia project's official release notes and security advisories for details on CVE-2026-40944.
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo go.mod e descubra na hora se você está afetado.