NVD Vulnerability Detail

CVE-2025-4575

Summary	Issue summary: Use of -addreject option with the openssl x509 application adds a trusted use instead of a rejected use for a certificate. Impact summary: If a user intends to make a trusted certificate rejected for a particular use it will be instead marked as trusted for that use. A copy & paste error during minor refactoring of the code introduced this issue in the OpenSSL 3.5 version. If, for example, a trusted CA certificate should be trusted only for the purpose of authenticating TLS servers but not for CMS signature verification and the CMS signature verification is intended to be marked as rejected with the -addreject option, the resulting CA certificate will be trusted for CMS signature verification purpose instead. Only users which use the trusted certificate format who use the openssl x509 command line application to add rejected uses are affected by this issue. The issues affecting only the command line application are considered to be Low severity. The FIPS modules in 3.5, 3.4, 3.3, 3.2, 3.1 and 3.0 are not affected by this issue. OpenSSL 3.4, 3.3, 3.2, 3.1, 3.0, 1.1.1 and 1.0.2 are also not affected by this issue.
Publication Date	May 22, 2025, 11:16 p.m.
Registration Date	May 23, 2025, 4 a.m.
Last Update	May 23, 2025, 1:15 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	http://www.openwall.com/lists/oss-security/2025/05/22/1
2	https://github.com/openssl/openssl/commit/e96d22446e633d117e6c9904cb15b4693e956eaa
3	https://openssl-library.org/news/secadv/20250522.txt

Common Vulnerabilities List

JVN Vulnerability Information

OpenSSL x509 アプリケーションにおける、拒否設定の代わりに信頼設定を付加してしまう問題（OpenSSL Security Advisory [22nd May 2025]）

Title	OpenSSL x509 アプリケーションにおける、拒否設定の代わりに信頼設定を付加してしまう問題（OpenSSL Security Advisory [22nd May 2025]）
Summary	OpenSSL Project より、<a href="https://openssl-library.org/news/secadv/20250522.txt"target="blank">OpenSSL Security Advisory [22nd May 2025]</a>（"The x509 application adds trusted use instead of rejected use (CVE-2025-4575)"）が公開されました。深刻度−低（Severity：Low） openssl コマンドラインツールの x509 アプリケーションは、特定の用途における拒否の設定を証明書に付加する -addreject オプションを指定した場合に、意図とは逆に信頼する設定を付加してしまいます（CWE-295、CVE-2025-4575）。 openssl コマンドラインツールの x509 アプリケーションで当該オプションを使用するユーザーのみが、この問題の影響を受けます。
Possible impacts	拒否されるべき証明書が、信頼された証明書として扱われる可能性があります。
Solution	[アップデートする] 開発者による本脆弱性公開時点では深刻度が低であるため、OpenSSL git リポジトリにて commit のみが提供されました。その後、2025 年 7 月 1 日 (現地時間) に本脆弱性を修正した以下のバージョンがリリースされました。　* OpenSSL 3.5.1
Publication Date	May 27, 2025, midnight
Registration Date	May 28, 2025, 11:22 a.m.
Last Update	July 4, 2025, 2:22 p.m.

Affected System

OpenSSL Project

OpenSSL 3.5.1 より前の 3.5 系バージョン

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2025-4575	https://www.cve.org/CVERecord?id=CVE-2025-4575

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-295	https://cwe.mitre.org/data/definitions/295.html

ベンダー情報

No	Name	URL
GitHub
1	Release OpenSSL 3.5.1	https://github.com/openssl/openssl/releases/tag/openssl-3.5.1
OpenSSL Security Advisory
2	OpenSSL Security Advisory [22nd May 2025]	https://openssl-library.org/news/secadv/20250522.txt

その他

No	Name	URL
JVN
1	JVNVU#91298012	https://jvn.jp/vu/JVNVU91298012/index.html

Change Log

No	Changed Details	Date of change
1	[2025年05月28日] 掲載	May 28, 2025, 10:59 a.m.
2	[2025年07月04日] 対策：内容を更新ベンダ情報：OpenSSL Project (Commit e96d224) を削除ベンダ情報：OpenSSL Project (Release OpenSSL 3.5.1) を追加	July 4, 2025, 2:16 p.m.