漏洞概述 漏洞编号:CVE-2026-54887 漏洞类型:DTLS服务器在启动窗口期间由于初始cookie密钥为空导致的cookie绕过 CVSS 4.0评分:6.3(中等) CWE:CWE-1394 — CWE-1394 使用默认加密密钥 CAPEC:CAPEC-485 — CAPEC-485 通过密钥重创建签名欺骗 影响范围 受影响模块: 和 受影响版本: - OTP 8.2 之前 - OTP 29.0 之前 - OTP 27.3.4.14 之前 具体文件: - - 具体函数: 修复方案 修复状态:已修复 修复版本: - OTP 11.7.3 - OTP 11.6.0.3 - OTP 11.2.12.10 - OTP 29.0.3 - OTP 27.3.4.14 参考链接 GitHub Advisory OSV.dev Vulnerability GitHub Commit 贡献者 发现者:Lukas Backström 修复开发者:Ingela Anderton Andin 修复审查者:Dan Gudmundsson 代码块 总结 该漏洞允许攻击者在DTLS服务器启动窗口期间通过观察明文ClientHello来伪造有效的DTLS cookie,从而绕过源地址验证,可能导致拒绝服务攻击。修复方案是通过更新到指定版本来解决此问题。