O OpenSSL publicou uma atualização de segurança para corrigir múltiplas vulnerabilidades, incluindo uma falha no mecanismo RSA KEM que pode expor dados sensíveis da memória durante operações criptográficas.
O problema mais relevante do pacote é o CVE-2026-31790, descrito como uma falha de tratamento incorreto de erro no processo RSASVE encapsulation. De acordo com o projeto, a rodada de correções foi liberada em 7 de abril de 2026 e a versão 3.6.2 passou a incorporar os patches de segurança para a linha mais recente da biblioteca.
O OpenSSL classificou o CVE-2026-31790 como a falha mais severa do lote, com gravidade moderada. A vulnerabilidade afeta especificamente o tratamento de falhas na encapsulação de chaves RSA KEM, usada em cenários de troca segura de material criptográfico.
Em determinadas condições, uma aplicação pode lidar de forma incorreta com uma operação malsucedida e acabar expondo conteúdo sensível da memória do processo.
A principal recomendação é aplicar imediatamente as versões corrigidas e revisar dependências que incorporam OpenSSL de forma estática ou indireta. Em ambientes onde a biblioteca é distribuída por sistemas operacionais ou produtos de terceiros, a correção pode depender também da liberação de pacotes pelos respectivos fornecedores.
Essa orientação é uma inferência baseada no modelo comum de distribuição do OpenSSL.
