CRITICAL🇬🇧 English

CVE-2026-42508

Nieprawidłowa weryfikacja unieważnionych kluczy CA w Golang Crypto

CVSS 9.1pub. 2026-05-22upd. 2026-07-03

Podatność w bibliotece Golang Crypto powoduje, że unieważniony klucz podpisu (SignatureKey) należący do urzędu certyfikacji (CA) nie był poprawnie sprawdzany pod kątem unieważnienia. Jest to poważna luka, ponieważ może pozwolić na akceptację certyfikatów lub podpisów opartych na kluczach, które powinny być odrzucone.

Pokaż oryginał (EN)

Previously, a revoked 'SignatureKey' belonging to a CA was not correctly checked for revocation. Now, both the 'key' and 'key.SignatureKey' are checked for @revoked.

🤖 Analiza AI
Jak działa

Podczas weryfikacji certyfikatów lub podpisów biblioteka sprawdzała jedynie bezpośredni klucz (key), pomijając weryfikację unieważnienia powiązanego klucza podpisu CA (key.SignatureKey). Atakujący dysponujący dostępem do unieważnionego klucza SignatureKey CA mógł wygenerować podpisy lub certyfikaty, które były błędnie uznawane za ważne. Po poprawce obydwa pola — key oraz key.SignatureKey — są weryfikowane pod kątem obecności na liście unieważnionych elementów.

Skutki

Atakujący może obejść mechanizmy weryfikacji unieważnienia certyfikatów lub kluczy CA, co prowadzi do nieautoryzowanego dostępu do chronionych zasobów lub naruszenia integralności podpisów cyfrowych.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (https://go.dev/cl/781220, https://go.dev/issue/79568, https://pkg.go.dev/vuln/GO-2026-5021).

Kogo dotyczy

Aplikacje wykorzystujące bibliotekę Golang Crypto — wersje wskazane w referencjach producenta.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Golang Crypto

    APP
    Golang
    < 0.52.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2026-39832CRITICAL9.1PL ✓ten sam produkt

Golang Crypto: pominięcie ograniczeń przy przekazywaniu kluczy do zdalnego agenta SSH

CVE-2026-39833CRITICAL9.1PL ✓ten sam produkt

Golang Crypto: brak wymuszenia ograniczenia ConfirmBeforeUse w NewKeyring()

CVE-2026-39831CRITICAL9.1PL ✓ten sam produkt

Brak weryfikacji flagi User Presence w FIDO/U2F w Golang Crypto

CVE-2026-39830CRITICAL9.1PL ✓ten sam produkt

Golang Crypto: resource leak przez niezamawiane odpowiedzi SSH global request

CVE-2026-39834CRITICAL9.1PL ✓ten sam produkt

Integer overflow w Golang Crypto SSH — nieskończona pętla przy zapisie >4GB