漏洞概述 CVE编号: CVE-2026-42789 漏洞名称: Non-CA certificate accepted as intermediate issuer in public_key path validation 漏洞描述: Erlang OTP 中的 模块(特别是 模块)存在一个漏洞,允许非CA证书被接受为中间颁发者,从而启用证书链伪造。具体而言, 中的 函数存在两个缺陷,使得带有 且无 扩展的证书可以在传递给 的链中被用作中间颁发者。当证书处于颁发者位置时, 子句会递归到剩余扩展中,而不会拒绝该证书,且 检查仅在扩展存在时生效,因此缺少 的证书完全绕过 强制。 影响范围 受影响模块: 受影响版本: - OTP 0.22 之前版本(1.15.17, 1.17.13, 1.20.3.1, 1.21.1) - OTP 26.2.5.21, 27.3.4.12, 28.5.0.1, 29.0.1 受影响应用: 依赖默认验证器的任何 TLS 或 mTLS 端点,包括服务器身份验证和客户端证书验证。 修复方案 修复版本: - OTP 1.15.17, 1.17.13, 1.20.3.1, 1.21.1 - OTP 26.2.5.21, 27.3.4.12, 28.5.0.1, 29.0.1 临时解决方案: 使用 选项在 或 应用中确保路径验证拒绝没有 的中间证书。 参考链接 GitHub Advisory OSV.dev Vulnerability GitHub Commit GitHub Commit 贡献者 Finder: John Downey Remediation developer: Ingela Andin Analyst: Jakub Witczak CVSS 评分 CVSS 4.0 Score: 7 (HIGH) 其他信息 基础网站: Foundation Website 返回所有CVE: « Back to all CVEs 查看OSV.dev: See on OSV.dev »