CVE-2026-28390— OpenSSL 安全漏洞

AI 预测 5.3 利用难度: 较易 EPSS 0.80% · P52 更新于 2026-05-15

可能的 ATT&CK 技术 2AI

T1190 · Exploit Public-Facing Application T1499 · Endpoint Denial of Service

影响版本矩阵 7

厂商	产品	版本范围	状态
OpenSSL	OpenSSL	`3.6.0< 3.6.2`	affected
		`3.5.0< 3.5.6`	affected
		`3.4.0< 3.4.5`	affected
		`3.3.0< 3.3.7`	affected
		`3.0.0< 3.0.20`	affected
		`1.1.1< 1.1.1zg`	affected
		`1.0.2< 1.0.2zp`	affected

获取后续新漏洞提醒登录后订阅

一、漏洞 CVE-2026-28390 基础信息

漏洞信息

对漏洞内容有疑问？看看神龙的深度分析是否有帮助！

查看神龙十问 ↗

尽管我们使用了先进的大模型技术，但其输出仍可能包含不准确或过时的信息。神龙努力确保数据的准确性，但请您根据实际情况进行核实和判断。

Vulnerability Title

Possible NULL Dereference When Processing CMS KeyTransportRecipientInfo

来源: 美国国家漏洞数据库 NVD

Vulnerability Description

Issue summary: During processing of a crafted CMS EnvelopedData message with KeyTransportRecipientInfo a NULL pointer dereference can happen. Impact summary: Applications that process attacker-controlled CMS data may crash before authentication or cryptographic operations occur resulting in Denial of Service. When a CMS EnvelopedData message that uses KeyTransportRecipientInfo with RSA-OAEP encryption is processed, the optional parameters field of RSA-OAEP SourceFunc algorithm identifier is examined without checking for its presence. This results in a NULL pointer dereference if the field is missing. Applications and services that call CMS_decrypt() on untrusted input (e.g., S/MIME processing or CMS-based protocols) are vulnerable. The FIPS modules in 3.6, 3.5, 3.4, 3.3 and 3.0 are not affected by this issue, as the affected code is outside the OpenSSL FIPS module boundary.

来源: 美国国家漏洞数据库 NVD

CVSS Information

N/A

来源: 美国国家漏洞数据库 NVD

Vulnerability Type

空指针解引用

来源: 美国国家漏洞数据库 NVD

Vulnerability Title

OpenSSL 安全漏洞

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Description

OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层（SSLv2/v3）和安全传输层（TLSv1）协议的通用加密库。该产品支持多种加密算法，包括对称密码、哈希算法、安全散列算法等。 OpenSSL存在安全漏洞，该漏洞源于处理特制的使用KeyTransportRecipientInfo的CMS EnvelopedData消息时可能导致空指针取消引用，可能导致应用程序崩溃和拒绝服务。

来源: 中国国家信息安全漏洞库 CNNVD

CVSS Information

N/A

来源: 中国国家信息安全漏洞库 CNNVD

Vulnerability Type

N/A

来源: 中国国家信息安全漏洞库 CNNVD

受影响产品

厂商	产品	影响版本	CPE	订阅
OpenSSL	OpenSSL	3.6.0 ~ 3.6.2	-

二、漏洞 CVE-2026-28390 的公开POC

#	POC 描述	源链接	神龙链接

AI 生成 POC高级

未找到公开 POC。

登录以生成 AI POC

三、漏洞 CVE-2026-28390 的情报信息

请登录查看更多情报信息。

CVE-2026-28390 补丁与修复 (4)

CVE-2026-28390 厂商安全公告 (1)

🔗 https://openssl-library.org/news/secadv/20260407.txt 查看完整文章 vendor-advisory

https://nvd.nist.gov/vuln/detail/CVE-2026-28390

同批安全公告 · OpenSSL · 2026-04-07 · 共 7 条

CVE-2026-31789		OpenSSL 安全漏洞
CVE-2026-31790		OpenSSL 安全漏洞
CVE-2026-28388		OpenSSL 安全漏洞
CVE-2026-28387		OpenSSL 安全漏洞
CVE-2026-28386		OpenSSL 安全漏洞
CVE-2026-28389		OpenSSL 安全漏洞

IV. Related Vulnerabilities

Same product: OpenSSL

Same vendor: OpenSSL

Same weakness: CWE-476

V. Comments for CVE-2026-28390

暂无评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-28390— OpenSSL 安全漏洞

可能的 ATT&CK 技术 2AI

影响版本矩阵 7

一、漏洞 CVE-2026-28390 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-28390 的公开POC

三、漏洞 CVE-2026-28390 的情报信息

CVE-2026-28390 补丁与修复 (4)

CVE-2026-28390 厂商安全公告 (1)

同批安全公告 · OpenSSL · 2026-04-07 · 共 7 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-28390

发表评论

目标达成 感谢每一位支持者 — 我们达成了 100% 目标！

CVE-2026-28390— OpenSSL 安全漏洞

可能的 ATT&CK 技术 2AI

影响版本矩阵 7

一、 漏洞 CVE-2026-28390 基础信息

漏洞信息

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

Vulnerability Title

Vulnerability Description

CVSS Information

Vulnerability Type

受影响产品

二、漏洞 CVE-2026-28390 的公开POC

三、漏洞 CVE-2026-28390 的情报信息

CVE-2026-28390 补丁与修复 (4)

CVE-2026-28390 厂商安全公告 (1)

同批安全公告 · OpenSSL · 2026-04-07 · 共 7 条

IV. Related Vulnerabilities

V. Comments for CVE-2026-28390

发表评论

目标达成感谢每一位支持者 — 我们达成了 100% 目标！

一、漏洞 CVE-2026-28390 基础信息