Katalog CVE

CVE-2026-14355

ŚrednieCVSS 5.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.28%

Percentyl 19 — wyżej niż 19% wszystkich znanych CVE

Streszczenie

W implementacji algorytmu AES-WRAP-PAD w rozszerzeniu OpenSSL dla PHP występuje błąd alokacji bufora. Bufor wyjściowy dla operacji zawijania klucza z dopełnieniem jest określany na podstawie długości tekstu jawnego bez uwzględnienia rozszerzenia RFC 5649, co może prowadzić do zapisu poza przydzieloną pamięcią.

Ocena ryzyka

Podatność może umożliwić uszkodzenie sterty i przerwanie działania aplikacji, co prowadzi do odmowy usługi (DoS) i potencjalnie do naruszenia integralności danych.

Rekomendacja

Należy niezwłocznie zaktualizować PHP do wersji 8.2.32, 8.3.32, 8.4.23 lub 8.5.8 w zależności od używanej gałęzi.

Oryginalny opis (angielski, źródło NVD)

In PHP versions 8.2.* before 8.2.32, 8.3.* before 8.3.32, 8.4.* before 8.4.23, 8.5.* before 8.5.8, the AES-WRAP-PAD algorithm implementation in OpenSSL extension contains a buffer allocation flaw. The output buffer for the AES key-wrap-with-padding operation is sized from the plaintext length without accounting for RFC 5649 expansion. This may cause OpenSSL to write beyond allocated memory, corrupting heap metadata and triggering application abort.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS