Een kwetsbaarheid in OpenSSL kan in sommige gevallen leiden tot remote code execution. Nieuwe versies van de software zijn uitgebracht om het probleem, bekend als CVE-2025-15467, op te lossen. Bij het verwerken van bepaalde CMS-berichten met speciaal aangepaste parameters kan een stack buffer overflow optreden, wat kan resulteren in een crash en mogelijk remote code execution.

Applicaties en diensten die onbetrouwbare CMS of PKCS#7-inhoud verwerken met AEAD-cijfers, zoals S/MIME AuthEnvelopedData met AES-GCM, lopen risico. De overflow vindt plaats vóór authenticatie, waardoor geen geldig sleutelmateriaal nodig is om het te veroorzaken, aldus het beveiligingsbulletin. De mogelijkheid tot misbruik van remote code execution hangt af van het platform, maar het OpenSSL-team waarschuwt dat de "stack-based write primitive" een ernstig risico vormt. De kwetsbaarheid is aanwezig in OpenSSL 3.6, 3.5, 3.4, 3.3 en 3.0, terwijl OpenSSL 1.1.1 en 1.0.2 niet kwetsbaar zijn. De impact is als "High" beoordeeld. Dergelijke kwetsbaarheden zijn zeldzaam in OpenSSL; in de afgelopen drie jaar zijn er slechts twee van dergelijke lekken gevonden. Gebruikers worden aangespoord om te upgraden naar OpenSSL 3.6.1, 3.5.5, 3.4.4, 3.3.6 of 3.0.19. Deze versies lossen ook andere kwetsbaarheden op, maar met een lagere impact. OpenSSL is een van de meest gebruikte softwarepakketten voor het versleutelen van internetverbindingen. Websites gebruiken het bijvoorbeeld om verkeer van en naar bezoekers te versleutelen. Kwetsbaarheden in OpenSSL kunnen grote gevolgen hebben voor het internet, zoals de Heartbleed Bug in het verleden heeft aangetoond.