Descoberta e escopo
O projeto OpenSSL liberou updates corretivos (por exemplo, 3.6.1, 3.5.5, 3.4.4 entre outros) para mitigar doze falhas reportadas em janeiro de 2026. Segundo o advisory citado pela imprensa técnica, a falha de maior risco é identificada como CVE-2025-15467 e foi classificada como High pelo próprio OpenSSL.
Vetor e exploração
CVE-2025-15467 afeta o parser de AuthEnvelopedData em estruturas CMS/PKCS#7 quando usadas com cifras AEAD (por exemplo AES-GCM). Pesquisadores apontam que é possível criar parâmetros ASN.1 contendo IVs oversized que provocam escrita fora de limites na pilha antes de verificações de autenticação, resultando em crashs ou potencial primitiva de escrita na stack — cenário que pode evoluir para execução remota de código em implementações vulneráveis que parseiem dados CMS não confiáveis (por exemplo S/MIME recebendo conteúdo externo).
Outras falhas relevantes
- CVE-2025-11187 — tratada como Moderate no advisory; envolve validação inadequada do PBMAC1 em arquivos PKCS#12, podendo levar a estouro de pilha ou referências nulas em determinadas versões.
- Vários defeitos de menor severidade (CVE-2025-69418, CVE-2025-69419, CVE-2025-69421, CVE-2026-22795, entre outros) afetam parsing de PKCS#12, ferramentas utilitárias e rotinas específicas, causando DoS ou corrupção de memória em casos de inputs malformados.
Produtos e versões afetadas
As correções foram publicadas para múltiplas linhas de release. Exemplos citados no relatório incluem:
- 3.6 → 3.6.1
- 3.5 → 3.5.5
- 3.4 → 3.4.4
- 3.3 → 3.3.6
- 3.0 → 3.0.19
- 1.1.1 → 1.1.1ze (release com patch)
- 1.0.2 → 1.0.2zn (patch “premium” citado para essa árvore)
O advisory indica que as falhas abrangem ramificações entre 3.6 e 1.0.2 (conforme recurso de cada branch), mas que alguns problemas atingem APIs e cenários específicos (por exemplo, servidores que processam S/MIME, timestamps ou PKCS#12 vindos de fontes externas).
Explorabilidade e limitações
O relatório destaca que a exploração remota efetiva depende de fatores de plataforma — por exemplo, mitigadores como ASLR e outras proteções podem dificultar a exploração de primitives de stack. Ainda assim, o fato de um dos vetores não exigir chaves criptográficas (input CMS/PKCS#7 malformado) eleva o risco para serviços que aceitam conteúdo CMS de fontes não totalmente confiáveis.
Quem descobriu e atribuições
Grande parte das descobertas foi creditada a pesquisadores da Aisle Research e outros colaboradores mencionados no advisory, com correções implementadas pelos mantenedores do OpenSSL.
Mitigações recomendadas
- Atualizar imediatamente bibliotecas e pacotes para as versões corrigidas fornecidas pela distribuição ou upstream (por exemplo, 3.6.1, 3.5.5, 3.4.4 etc.).
- Priorizar sistemas que processam S/MIME, PKCS#7/CMS, PKCS#12 ou timestamps recebidos de fontes externas.
- Se não for possível aplicar atualização imediatamente, bloquear/validar rigorosamente inputs CMS/PKCS#7 recebidos e limitar exposição de serviços que os processem.
- Revisar dependências transitivas em servidores TLS, appliances VPN e ferramentas de criptografia que embutam OpenSSL.
Impacto operacional e próximos passos
OpenSSL é um componente crítico em servidores web, gateways TLS, appliances VPN e ferramentas de e‑mail/assinatura. Organizações devem acelerar a cadeia de distribuição de patches, verificar pacotes das suas distribuições e auditar serviços que parseiem arquivos criptográficos externos. O advisory e a cobertura técnica fornecem tabelas de versões afetadas e orientações — quando faltarem detalhes específicos sobre uma integração, a recomendação é testar em ambiente controlado e atualizar o componente o quanto antes.
Fonte técnica disponível em advisory do OpenSSL e em análises públicas (reportagens técnicas que compilaram o advisory).
O que falta: não há, no material de divulgação pública, registros amplamente divulgados de exploração ativa em larga escala ligada a essas CVE até o momento da publicação desta matéria; a situação deve ser monitorada para detecção de PoCs públicas ou exploração em campo.