E’ emersa una vulnerabilità su un software di base, OpenSSL , usata i modo pervasivo su numerosissimi sistemi. Potenzialmente è una vulnerabilità critica anche se richiede alcune condizioni specifiche per essere sfruttata. Il base score CVSS v.3 e’ 9.8 su 10 !
Oltre alla vulnerabilità grave, il team di OpenSSL ha corretto 12 vulnerabilità il 27 gennaio 2026, tra cui una di gravità elevata che potrebbe causare l’esecuzione di codice remoto. La maggior parte dei problemi causa attacchi denial-of-service, ma evidenzia rischi nell’analisi di dati non attendibili.
Il problema più grave, CVE-2025-15467, colpisce l’analisi di AuthEnvelopedData di CMS con cifrari AEAD come AES-GCM. Gli aggressori creano IV sovradimensionati nei parametri ASN.1, causando overflow dello stack prima dei controlli di autenticazione. Ciò porta a crash o potenziali esecuzioni di codice remoto su app che gestiscono dati CMS o PKCS#7 non attendibili, come S/MIME.
Le app che analizzano contenuti CMS remoti corrono un rischio elevato poiché non è necessaria alcuna chiave per attivare l’overflow. La sfruttabilità dipende da difese della piattaforma come ASLR, ma la primitiva di scrittura dello stack rappresenta un grave pericolo. OpenSSL l’ha classificata come di gravità elevata.
CVE-2025-11187 riguarda una convalida PBMAC1 non corretta nei file PKCS#12, che causa overflow dello stack o dereferenziazioni nulle nelle versioni da 3.6 a 3.4. I file dannosi innescano overflow del buffer durante la derivazione della chiave se la lunghezza della chiave supera i 64 byte.