CRITICAL🇬🇧 English

CVE-2026-32253

Auth Bypass w Lizardbyte Sunshine — obejście weryfikacji certyfikatu klienta

CVSS 9.8v3.1pub. 2026-05-22upd. 2026-05-26

Podatność w aplikacji Sunshine (self-hosted game stream host dla Moonlight) umożliwia obejście uwierzytelniania opartego na certyfikatach klienta. Błąd jest krytyczny (CVSS 9.8), ponieważ nieuwierzytelniony atakujący zdalnie może uzyskać dostęp do chronionych endpointów HTTPS bez posiadania zaufanego certyfikatu.

Pokaż oryginał (EN)

Sunshine is a self-hosted game stream host for Moonlight. In versions prior to 2026.516.143833, the client-certificate authentication can be bypassed because of how OpenSSL verification results are handled. In src/crypto.cpp, the custom verify callback treats X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY, X509_V_ERR_CERT_NOT_YET_VALID, and X509_V_ERR_CERT_HAS_EXPIRED as success. This can allow an untrusted certificate to pass authentication and access protected HTTPS endpoints. This issue has been fixed in version 2026.516.143833.

🤖 Analiza AI
Jak działa

W pliku src/crypto.cpp niestandardowy callback weryfikacji OpenSSL nieprawidłowo traktuje wybrane kody błędów walidacji certyfikatu jako wynik pozytywny. Konkretnie błędy X509_V_ERR_UNABLE_TO_GET_ISSUER_CERT_LOCALLY, X509_V_ERR_CERT_NOT_YET_VALID oraz X509_V_ERR_CERT_HAS_EXPIRED są obsługiwane jako sukces zamiast jako odrzucenie. W efekcie certyfikat niezaufany, nieważny lub wygasły może pomyślnie przejść proces uwierzytelniania klienta.

Skutki

Atakujący bez ważnego, zaufanego certyfikatu może ominąć mechanizm uwierzytelniania i uzyskać pełny dostęp do chronionych endpointów HTTPS instancji Sunshine, co zagraża poufności, integralności i dostępności systemu.

Mitygacja

Należy zaktualizować Sunshine do wersji 2026.516.143833 lub nowszej, w której problem został naprawiony. Patch dostępny jest w repozytorium GitHub projektu pod adresem: https://github.com/LizardByte/Sunshine/releases/tag/v2026.516.143833

Kogo dotyczy

Lizardbyte Sunshine we wszystkich wersjach wcześniejszych niż 2026.516.143833

Uwagi

Podatność została ujawniona w ramach GitHub Security Advisory GHSA-ph75-mgxh-mv57. Poprawka została włączona do wersji 2026.516.143833 opublikowanej przez projekt LizardByte.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Lizardbyte Sunshine

    APP
    Lizardbyte
    < 2026.516.143833
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
Tagi
Auth Bypass
CWE
Referencje

Powiązane podatności

CVE-2025-53095CRITICAL9.6PL ✓ten sam produkt

CSRF w Sunshine umożliwia RCE z uprawnieniami administratora

CVE-2025-10199HIGH7.8ten sam produkt

A local privilege escalation vulnerability exists in Sunshine for Windows (version v2025.122.141614 and likely...

CVE-2025-10198HIGH7.8ten sam produkt

Sunshine for Windows, version v2025.122.141614, contains a DLL search-order hijacking vulnerability, allowing ...

CVE-2024-51738HIGH7.7ten sam produkt

Sunshine is a self-hosted game stream host for Moonlight. In 0.23.1 and earlier, Sunshine's pairing protocol i...

CVE-2024-31220HIGH7.3ten sam produkt

Sunshine is a self-hosted game stream host for Moonlight. Starting in version 0.16.0 and prior to version 0.18...