O OpenSSL lançou correções para vulnerabilidades que podem afetar aplicações responsáveis por validar mensagens assinadas, certificados e outros fluxos criptográficos.
A falha mais grave, rastreada como CVE-2026-45447, pode permitir execução remota de código em cenários específicos.
A vulnerabilidade não afeta todos os sistemas que usam OpenSSL. O risco principal está em aplicações que aceitam e verificam mensagens assinadas recebidas de fontes externas, como serviços de e-mail, gateways corporativos, sistemas de documentos e integrações que dependem de PKCS7.
As versões afetadas incluem OpenSSL 4.0, 3.6, 3.5, 3.4, 3.0, 1.1.1 e 1.0.2. As correções foram disponibilizadas nas versões 4.0.1, 3.6.3, 3.5.7, 3.4.6 e 3.0.21, além de versões específicas para clientes com suporte estendido nas linhas 1.1.1 e 1.0.2.
O impacto pode variar conforme o uso da biblioteca. Em alguns ambientes, a falha pode resultar apenas em negação de serviço. Em outros, especialmente quando há processamento automático de mensagens externas, o risco de exploração é mais sensível.
Administradores devem atualizar o OpenSSL pelos pacotes oficiais do sistema operacional ou pelas versões corrigidas do projeto.
