CVE-2026-33117
KrytyczneStreszczenie
Biblioteka kluczy Java Key Vault w Azure SDK dla Javy zawiera problem w lokalnej ścieżce weryfikacji kryptograficznej, gdzie porównanie tagu uwierzytelniającego zostało zaimplementowane niepoprawnie. W aplikacjach korzystających z tej podatnej ścieżki kryptograficznej, specjalnie przygotowane zaszyfrowane dane wejściowe mogą ominąć kontrole weryfikacji integralności.
Ocena ryzyka
Organizacje korzystające z podatnej wersji biblioteki mogą być narażone na ataki, które pozwalają na ominięcie weryfikacji integralności danych, co może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.
Rekomendacja
Zaleca się aktualizację biblioteki do wersji 4.10.6, aby usunąć tę podatność i zabezpieczyć aplikacje przed potencjalnymi atakami.
Oryginalny opis (angielski, źródło NVD)
The Java Key Vault Keys library in the Azure SDK for Java contains an issue in the local cryptographic verification path where authentication tag comparison was implemented incorrectly. In affected applications that use the vulnerable local cryptography path, specially crafted encrypted input may bypass integrity verification checks. Operations delegated to the Key Vault service are not affected. The issue is addressed in version 4.10.6.

