CVE-2026-34054是vcpkg C/C++包管理器中发现的安全漏洞。该漏洞存在于3.6.1#3之前的版本中,vcpkg的Windows构建的OpenSSL将openssldir设置为构建机器上的路径,使得该路径在客户机器上可被攻击。该漏洞影响3.6.1#3之前的版本。已在vcpkg 3.6.1#3版本中修复。
CVE-2026-34054 影响 vcpkg 管理的 OpenSSL Windows 构建。在 3.6.1#3 版本之前,vcpkg 会将 openssldir 变量设置为构建机器上的路径。这意味着该路径以及相关的 OpenSSL 配置可能会在软件安装过程中转移到客户机器上。攻击者理论上可以利用此漏洞来破坏应用程序的安全性,如果该路径被滥用或允许对其进行未经授权的访问。CVSS 分数为 7.8,表明这是一个中等严重程度的漏洞。
利用此漏洞需要访问构建机器或能够影响 vcpkg 构建过程的能力。攻击者可以修改构建机器上的 OpenSSL 配置,然后分发使用 vcpkg 的受损软件。一旦软件安装在客户机器上,如果 openssldir 路径以不安全的方式使用,则该软件可能会受到攻击。如果路径指向网络可访问的目录或允许对该目录进行写入访问,则风险会增加。虽然在客户机器上进行直接利用的可能性较小,但在构建和分发过程中发生泄露的风险仍然很大。
Organizations that utilize vcpkg for building C/C++ applications on Windows, particularly those relying on OpenSSL for secure communication or data encryption, are at risk. This includes developers, DevOps teams, and system administrators involved in the build and deployment pipelines. Shared hosting environments where multiple users build applications using a common vcpkg installation are also particularly vulnerable.
• windows / supply-chain:
Get-ChildItem -Path "C:\Program Files\vcpkg\installed\x64-windows\bin\openssl.exe" -ErrorAction SilentlyContinue | Select-Object -ExpandProperty FullName• linux / server:
find / -name "openssl.cnf" -print 2>/dev/null• generic web:
curl -I https://example.com | grep openssldirdisclosure
漏洞利用状态
EPSS
0.07% (21% 百分位)
CISA SSVC
解决此问题的方案是将 vcpkg 更新到 3.6.1#3 或更高版本。此版本更正了 openssldir 的不正确设置,并确保在安装过程中正确设置路径,从而防止构建机器路径转移到客户机器。强烈建议尽快更新 vcpkg 以减轻此风险。此外,请检查您的项目依赖项,以确保它们使用安全的 vcpkg 和 OpenSSL 版本。更新是保护免受此漏洞的最重要步骤。
请将 vcpkg 更新到 3.6.1#3 或更高版本。这修复了 Windows 构建中 openssldir 的错误配置,从而避免了客户机上的潜在攻击。
漏洞分析和关键警报直接发送到您的邮箱。
vcpkg 是一个 C/C++ 包管理器,可简化软件项目中的依赖项管理。
您可以使用命令行中的 vcpkg upgrade 命令来更新 vcpkg。
不一定。影响取决于应用程序中如何使用 OpenSSL 和 openssldir 路径。
目前没有专门用于检测此漏洞的工具。最佳方法是检查您使用的 vcpkg 版本。
考虑实施额外的安全措施,例如限制对构建机器的访问以及检查 OpenSSL 配置。
CVSS 向量