CVE-2026-32144 描述了 Erlang OTP publickey 模块中一个不正确的证书验证漏洞,具体位于 pubkeyocsp 模块。该漏洞允许攻击者通过绕过 OCSP 指定响应者的授权进行攻击。该漏洞影响 Erlang OTP 1.16.0 及更高版本。目前已发布修复方案,建议尽快更新。
此漏洞的潜在影响非常严重。攻击者可以拦截或控制 OCSP 响应,并创建自签名证书,欺骗系统认为该证书由受信任的证书颁发机构 (CA) 签名。这可能导致系统接受伪造的证书,从而允许攻击者进行中间人攻击 (MITM)、窃取敏感数据或执行未经授权的操作。由于 Erlang OTP 广泛应用于构建分布式和并发系统,因此该漏洞的潜在影响范围非常广,可能影响到依赖 Erlang OTP 的各种应用程序和服务。类似于其他 OCSP 验证绕过漏洞,此漏洞可能被用于攻击使用 Erlang OTP 进行安全通信的系统。
该漏洞于 2026 年 4 月 7 日公开披露。目前尚无公开的 POC 代码,但由于该漏洞允许 OCSP 授权绕过,因此存在被利用的风险。该漏洞尚未被添加到 CISA KEV 目录,但其潜在影响值得关注。建议密切关注 Erlang 官方的安全公告和社区报告,以便及时了解漏洞的最新动态。
Applications and systems utilizing Erlang OTP versions 1.16.0 and later for certificate validation, particularly those handling sensitive data or operating in untrusted network environments, are at risk. This includes systems relying on Erlang OTP for TLS/SSL connections and those integrated with third-party services that require certificate verification.
disclosure
漏洞利用状态
EPSS
0.04% (14% 百分位)
CISA SSVC
官方建议升级到已修复的版本。由于 fixed_in 字段为 *,这意味着官方尚未发布特定版本进行修复,但建议关注 Erlang 官方更新。在无法立即升级的情况下,可以考虑以下缓解措施:首先,实施严格的 OCSP 策略,限制可信任的 OCSP 响应者。其次,使用证书吊销列表 (CRL) 进行验证,作为 OCSP 验证的补充。第三,在网络层实施监控和入侵检测系统 (IDS),以检测可疑的 OCSP 流量。最后,定期审查和更新证书配置,确保证书链的完整性和有效性。升级后,请验证证书验证流程是否正常工作。
升级 public_key 库至 1.20.4 或更高版本,或 ssl 库至 11.5.5 或更高版本,或 OTP 至 28.4.3 或更高版本,以缓解漏洞。 该更新修复了 OCSP 响应中缺少签名验证的问题,从而防止证书伪造。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2026-32144 是 Erlang OTP public_key 模块中的一个漏洞,允许攻击者通过绕过 OCSP 指定响应者的授权进行攻击,影响 1.16.0 及更高版本。
如果您正在使用 Erlang OTP 1.16.0 或更高版本,则可能受到影响。请尽快检查您的系统并采取缓解措施。
官方建议升级到已修复的版本。请关注 Erlang 官方的安全公告以获取最新信息。
目前尚无公开的利用案例,但由于该漏洞允许 OCSP 授权绕过,因此存在被利用的风险。
请访问 Erlang 官方网站或关注 Erlang 官方的安全公告渠道以获取更多信息。