CWE-299БазаЧерновик
Некорректная проверка отзыва сертификата
Продукт не проверяет или некорректно проверяет статус отзыва сертификата, что может привести к использованию скомпрометированного сертификата.
Открыть в каталоге с фильтром CWE →Связанные CAPEC
—
Связанные уязвимости
CVE-2025-3085Сервер MongoDB в определенных условиях, работающий под управлением Linux с включенной проверкой статуса отзыва TLS и CRL, не проверяет статус отзыва промежуточных сертификатов в цепочке сертификатов пира. В случае MONGODB-X509, который не включен по умолчанию, это может привести к неправильной аутентификации. Эта проблема также может повлиять на аутентификацию внутри кластера. Данная проблема затрагивает версии MongoDB Server v5.0 до 5.0.31, MongoDB Server v6.0 до 6.0.20, MongoDB Server v7.0 до 7.0.16 и MongoDB Server v8.0 до 8.0.4.
Требуемая конфигурация: MongoDB Server должен работать на операционных системах Linux, а проверка статуса отзыва CRL должна быть включена.
CVE-2026-4428Логическая ошибка в проверке точки распространения CRL в AWS-LC до 1.71.0 приводит к тому, что разделенные CRL неправильно отклоняются как неверно связанные, что позволяет отозванному сертификату обходить проверки отзыва сертификата.
Чтобы исправить эту проблему, пользователям следует обновиться до AWS-LC 1.71.0 или AWS-LC-FIPS-3.3.0.
CVE-2020-1675Когда включена аутентификация Security Assertion Markup Language (SAML), Juniper Networks Mist Cloud UI может некорректно обрабатывать недействительные сертификаты аутентификации, что может позволить злоумышленнику, находящемуся в сети, получить доступ к неавторизованным данным. Эта проблема затрагивает все версии Juniper Networks Mist Cloud UI до 2 сентября 2020 года.
CVE-2025-11955Неправильная проверка уязвимости сертификатов OCSP в TheGreenBow VPN, версии 7.5 и 7.6. На этапе аутентификации IKEv2 VPN-клиент с поддержкой OCSP устанавливает туннель, даже если он не получает ответа OCSP или если подпись ответа OCSP недействительна.
CVE-2023-0430Статус отзыва OCSP сертификата не проверялся при проверке подписей S/Mime. Почта, подписанная отозванным сертификатом, отображалась бы как имеющая действительную подпись. Эта ошибка затронула версии Thunderbird с 68 по 102.7.0. Эта уязвимость затрагивает Thunderbird < 102.7.1.
CVE-2015-4680FreeRADIUS 2.2.x до 2.2.8 и 3.0.x до 3.0.9 неправильно проверяет отзыв промежуточных сертификатов ЦС.
CVE-2023-23690Cloud Mobility для Dell EMC Storage, версии 1.3.0.X и ниже, содержит уязвимость Improper Check for Certificate Revocation. Злоумышленнику не нужны какие-либо специальные привилегии для потенциального использования этой уязвимости. Злоумышленник может выполнить атаку «человек посередине» и перехватить зашифрованные сообщения от Cloud Mobility к устройствам Cloud Storage. Эксплуатация может привести к компрометации секретной и конфиденциальной информации, простою подключения к облачному хранилищу и нарушению целостности подключения к облачным устройствам.
CVE-2020-16228В Patient Information Center iX (PICiX) версий C.02 и C.03, PerformanceBridge Focal Point версии A.01, мониторах пациента IntelliVue MX100, MX400-MX550, MX750, MX850 и IntelliVue X3 версий N и более ранних программное обеспечение не проверяет или неправильно проверяет статус отзыва сертификата, что может привести к использованию скомпрометированного сертификата.
CVE-2026-6899Проверка на отзыв сертификата учитывает только первое соответствие CRL и игнорирует другие действительные CRL того же CA в криптографической обертке CycloneCrypto библиотеки S2OPC. Это может обеспечить соединение между клиентом OPC UA и сервером с использованием отозванного сертификата.
CVE-2017-15698При разборе поля AIA-Extension сертификата клиента Apache Tomcat Native Connector 1.2.0 - 1.2.14 и 1.1.23 - 1.1.34 неправильно обрабатывал поля длиной более 127 байт. Результатом ошибки разбора было пропуск проверки OCSP. Поэтому было возможно принятие сертификатов клиентов, которые должны были быть отклонены (если бы проверка OCSP была выполнена). Пользователи, не использующие проверки OCSP, не подвержены этой уязвимости.
CVE-2025-36057IBM Cognos Analytics Mobile (iOS) версии 1.1.0 - 1.1.22 уязвим к bypass аутентификации через использование библиотеки Local Authentication Framework, которая не нужна, так как биометрическая аутентификация не используется в приложении. Для устранения рекомендуется обновить приложение до версии 1.1.23 [1].
Источники:
- [1] https://www.ibm.com/support/pages/node/7239635
CVE-2015-4748Неуказанная уязвимость в Oracle Java SE 6u95, 7u80 и 8u45; JRockit R28.3.6; и Java SE Embedded 7u75 и Embedded 8u33 позволяет удаленным злоумышленникам влиять на конфиденциальность, целостность и доступность через неизвестные векторы, связанные с Security.
CVE-2024-56138notion-go — это набор библиотек для поддержки подписи и проверки артефактов OCI. На основе спецификаций Notary Project. Эта проблема была выявлена во время аудита Quarkslab функции timestamp. Во время создания подписи timestamp статус отзыва сертификата(ов), используемого для создания подписи timestamp, не проверялся. Во время создания подписи timestamp notation-go не проверял статус отзыва цепочки сертификатов, используемой TSA. Этот недостаток создает уязвимость, которую можно использовать посредством атаки Man-in-The-Middle. Злоумышленник может потенциально использовать скомпрометированный, промежуточный или отозванный конечный сертификат для создания вредоносной встречной подписи, которая затем будет принята и сохранена `notation`. Это может привести к сценариям отказа в обслуживании, особенно в средах CI/CD во время процессов проверки подписи, поскольку подпись timestamp завершится неудачей из-за наличия отозванного сертификата(ов), что может нарушить работу. Эта проблема была решена в версии 1.3.0-rc.2, и всем пользователям рекомендуется обновиться. Известных обходных путей для этой уязвимости нет.
CVE-2024-0853curl ненамеренно сохранял идентификатор SSL сессии для подключений в своем кэше, даже когда проверка статуса (*OCSP stapling*) не удалась. Последующий перенос на тот же хост может затем завершиться успешно, если кэш идентификатора сессии все еще свежий, что затем пропускает проверку статуса.