CVE-2026-40097 Step — эксплойт и детали уязвимости LOW

Параметр	Значение
CVSS	3,7 (LOW)
Уязвимые версии	до 0.30.0
Устранено в версии	0.30.0
Тип уязвимости	CWE-129 (Некорректная проверка индекса массива)
Поставщик	Step
Публичный эксплойт	Нет

Step CA — это онлайн-центр сертификации для безопасного автоматизированного управления сертификатами для DevOps. Начиная с версии 0.24.0 и до версии 0.30.0-rc3, злоумышленник может вызвать панику за пределами индекса на этапе CA, отправив созданный сертификат ключа аттестации (AK) с пустым расширением расширенного использования ключа (EKU) во время аттестации устройства TPM. При обработке запроса ACME device-attest-01 с использованием аттестации TPM Step CA проверяет, содержит ли сертификат AK OID tcg-kp-AIKCertificate Extended Key Usage OID.

Во время этой проверки значение расширения EKU декодируется из его представления ASN.1 и проверяется первый элемент. Созданный сертификат может включать расширение EKU, которое декодирует пустую последовательность, вызывая панику кода при доступе к первому элементу пустого фрагмента. Эта уязвимость доступна только в том случае, если настроен запрос ACME device-attest-01 с аттестацией TPM.

Развертывания, не использующие аттестацию устройства TPM, не затрагиваются. Эта уязвимость исправлена в версии 0.30.0-rc3.

Показать оригинальное описание (EN)

Step CA is an online certificate authority for secure, automated certificate management for DevOps. From 0.24.0 to before 0.30.0-rc3, an attacker can trigger an index out-of-bounds panic in Step CA by sending a crafted attestation key (AK) certificate with an empty Extended Key Usage (EKU) extension during TPM device attestation. When processing a device-attest-01 ACME challenge using TPM attestation, Step CA validates that the AK certificate contains the tcg-kp-AIKCertificate Extended Key Usage OID. During this validation, the EKU extension value is decoded from its ASN.1 representation and the first element is checked. A crafted certificate could include an EKU extension that decodes to an empty sequence, causing the code to panic when accessing the first element of the empty slice. This vulnerability is only reachable when a device-attest-01 ACME challenge with TPM attestation is configured. Deployments not using TPM device attestation are not affected. This vulnerability is fixed in 0.30.0-rc3.