V
Сканер-ВС
ГлавнаяКаталогИсточникиCWECAPECATT&CKМеры защитыПродуктыВендорыДокументация
CVE-2026-27586
CVE
Высокий

Caddy - это расширяемая серверная платформа, которая по умолчанию использует TLS. До версии 2.11.1 две проглоченные ошибки в `ClientAuthent…

CVSS
8.8
Высокий
EPSS
0.00
p18
Опубликовано
2026-01-01
Обновлено
2026-01-01
Описание

Caddy - это расширяемая серверная платформа, которая по умолчанию использует TLS. До версии 2.11.1 две проглоченные ошибки в `ClientAuthentication.provision()` вызывают аутентификацию подлинности клиентского сертификата mTLS бесшумно, когда файл сертификата CA отсутствует, нечитаемый или униформированный. Сервер запускается без ошибок, но принимает любой клиентский сертификат, подписанный любым доверенным системой CA, полностью минуя предполагаемую частную границу доверия CA. Любое развертывание с использованием `trusted_ca_cert_file` или `trusted_ca_certs_pem_files` для mTLS будет молча ухудшаться до принятия любого системного клиентского сертификата, если файл CA становится недоступным. Это может произойти из-за опечатки в пути, вращения файлов, коррумпированности или изменения разрешений. Сервер не дает никаких указаний на то, что mTLS неправильно настроен. Версия 2.11.1 исправляет уязвимость.

Теги · CWE
Без аутентификации
CWE-755
Затронутые продукты
Caddy < 2.11.1
Вектор CVSS
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N/E:P/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
Хронология
2026-01-01
Опубликована
2026-01-01
Обновлена
Разбор CVSS 3.1
Вектор атаки
AV: N
Сеть (N)
Сложность атаки
AC: L
Низкая (L)
Требования к атаке
AT: N
None
Требуемые привилегии
PR: N
Отсутствуют (N)
Взаимодействие с пользователем
UI: N
Отсутствует (N)
Конфиденциальность уязвимой системы
VC: H
Высокое (H)
Целостность уязвимой системы
VI: H
Высокое (H)
Доступность уязвимой системы
VA: N
Отсутствует (N)
Конфиденциальность последующей системы
SC: N
Отсутствует (N)
Целостность последующей системы
SI: N
Отсутствует (N)
Доступность последующей системы
SA: N
Отсутствует (N)
Зрелость эксплойт-кода
E: P
Proof-of-Concept
Требование конфиденциальности
CR: X
Not Defined
Требование целостности
IR: X
Not Defined
Требование доступности
AR: X
Not Defined
Модифицированный вектор атаки
MAV: X
Not Defined
Модифицированная сложность атаки
MAC: X
Not Defined
Модифицированные требования к атаке
MAT: X
Not Defined
Модифицированные требуемые привилегии
MPR: X
Not Defined
Модифицированное взаимодействие с пользователем
MUI: X
Not Defined
Модифицированная конфиденциальность уязвимой системы
MVC: X
Not Defined
Модифицированная целостность уязвимой системы
MVI: X
Not Defined
Модифицированная доступность уязвимой системы
MVA: X
Not Defined
Модифицированная конфиденциальность последующей системы
MSC: X
Not Defined
Модифицированная целостность последующей системы
MSI: X
Not Defined
Модифицированная доступность последующей системы
MSA: X
Not Defined
s
S: X
X
au
AU: X
X
r
R: X
X
v
V: X
X
re
RE: X
X
u
U: X
X
Индикаторы эксплуатации
EPSS
0.003 · p18
Известна эксплуатация (KEV)
Нет
Проверки Сканер-ВС
Проверок Сканер-ВС для этой уязвимости в базе пока нет.
Затронутые продукты
ПродуктВендорСтатус
caddyОтслеживается
caddy*Отслеживается
caddyОтслеживается
caddyОтслеживается
caddyОтслеживается