Il 15 luglio 2026 Trend Micro ha pubblicato l'advisory ZDI-26-425 che documenta una vulnerabilità di tipo double-free nella libreria crittografica OpenSSL. La falla, identificata come CVE-2026-35188, risiede nella verifica delle risposte OCSP stapling e consente l'esecuzione remota di codice arbitrario quando un client TLS si connette a un server malevolo. Le patch sono disponibili nelle versioni 3.6.3 e 4.0.1.
Il caso rivela una discrepanza rilevante: ZDI descrive senza riserve un impatto RCE, mentre il record CVE ufficiale assegna severità Moderate. Il record CVE non fornisce punteggio CVSS numerico. Questo distacco tra rischio teorico e classificazione ufficiale solleva interrogativi su come le metriche di valutazione pesino la complessità reale dell'exploitazione.
- La vulnerabilità CVE-2026-35188 è un double-free nella verifica delle risposte OCSP stapling di OpenSSL, attivabile da un server TLS malevolo con risposta craftata.
- ZDI dichiara impatto RCE; il record CVE ufficiale assegna severità Moderate, citando la complessità tecnica per ottenere esecuzione affidabile di codice.
- Il record CVE non fornisce punteggio CVSS numerico esplicito.
- Le patch ufficiali sono rilasciate per OpenSSL 3.6.3 e 4.0.1.
- OCSP stapling non è abilitato di default in OpenSSL e nessun modulo FIPS è interessato.
Dato chiaveModerate: la severità assegnata dal record CVE ufficiale, nonostante il potenziale RCE dichiarato da ZDI.
Il meccanismo: come funziona il double-free in OCSP stapling
La falla si annida nella gestione delle risposte OCSP stapling, la tecnica che permette a un server TLS di allegare alla propria catena di certificati una risposta temporizzata dal responder OCSP. Secondo l'advisory ZDI-26-425: "The specific flaw exists within the processing of malformed OCSP responses. The issue results from the lack of validating the existence of an object prior to performing further free operations on the object."
Il difetto è classificabile come doppia liberazione di memoria. Quando il codice esegue due volte l'operazione free sullo stesso puntatore senza verificare l'esistenza dell'oggetto, lo spazio di memoria viene restituito due volte al gestore dell'heap. Questo stato inconsistente permette di manipolare le strutture interne dell'allocatore.
Il record CVE-2026-35188 sintetizza il vettore: "A malicious server can exploit TLS OCSP stapling by delivering a crafted response through the status_request extension, triggering a double-free in the client's certificate verification path." La condizione richiede che il client abbia esplicitamente abilitato OCSP stapling, opzione non attiva di default, e che effettui una connessione verso un server sotto il controllo dell'attaccante.
RCE contro Moderate: due fonti, due letture
FATTO — Citazione ZDI: "This vulnerability allows remote attackers to execute arbitrary code on affected installations of OpenSSL. User interaction is required to exploit this vulnerability in that the target must make a request to a malicious server."
FATTO — Citazione CVE: "Reliable code execution through a double-free is technically complex and highly environment-dependent but the Denial of Service impact is straightforward to achieve, warranting Moderate severity."
ANALISI: Le due fonti primarie convergenti — ZDI e CVE — offrono letture diverse dello stesso bug. ZDI enfatizza il potenziale RCE senza attenuazioni. Il record CVE, invece, calibra la severità sulla base dell'exploitabilità pratica: il DoS è immediato e deterministico, mentre l'esecuzione affidabile di codice dipende da variabili esterne non controllabili dall'attaccante.
ANALISI: Questo distacco rivela un orientamento delle metriche CVE: la severità non misura la pericolosità del peggior scenario ipotizzabile, ma la probabilità di realizzazione in condizioni standard. Per le organizzazioni, il segnale è duplice: l'assenza di classificazione critica non giustifica ritardi nella patch, e il rischio DoS è reale e verificabile.
LIMITE DELLE FONTI: Con due fonti primarie convergenti ma senza exploit in-the-wild documentato né punteggio CVSS numerico esplicito, la valutazione del rischio rimane parzialmente indeterminata. Il record CVE non fornisce punteggio CVSS numerico.
Il perimetro di esposizione
La configurazione richiesta limita la superficie di attacco. Il record CVE-2026-35188 stabilisce che "the OCSP stapling is not enabled by default", escludendo le installazioni standard.
Un'ulteriore restrizione emerge per gli ambienti regolamentati: "No FIPS modules are affected by this issue as the affected code is outside the OpenSSL FIPS module boundary." Le organizzazioni che operano sotto requisiti FIPS 140 non vedono compromesse le valutazioni di conformità, purché utilizzino i moduli crittografici validati separatamente.
Cosa fare adesso
Le patch ufficiali sono rilasciate per OpenSSL 3.6.3 e 4.0.1. Il record CVE collega i commit specifici su GitHub per entrambe le linee di versione.
Approccio prudenziale per gli operatori: verificare se OCSP stapling sia effettivamente abilitato nei propri sistemi prima di prioritizzare l'intervento. La disabilitazione della funzionalità, ove non necessaria, rimuove il vettore di attacco senza richiedere l'aggiornamento immediato.
Chiusura editoriale
Il caso CVE-2026-35188 illustra la tensione insita nella comunicazione delle vulnerabilità: tra la precisione tecnica dell'advisory e la sintesi della metrica ufficiale. ZDI dice RCE senza riserve; CVE dice Moderate, citando complessità. Nessuna delle due è tecnicamente sbagliata, ma nessuna racconta l'intera storia. Il record CVE non fornisce punteggio CVSS numerico, lasciando aperto il giudizio sul reale profilo di rischio.
Per i decisori, la lezione è metodologica: la severità ufficiale è un punto di partenza, non un'arrivo. Quando le fonti divergono e i dati quantitativi mancano, la valutazione del rischio richiede lettura incrociata delle attestazioni e consapevolezza dei limiti documentati.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- http://www.zerodayinitiative.com/advisories/ZDI-26-425/
- http://www.zerodayinitiative.com/advisories/published/
- https://www.cve.org/CVERecord?id=CVE-2026-35188
- https://www.trendmicro.com/en_us/business/products/one-platform.html