Katalog CVE

CVE-2026-40356

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.46%

Percentyl 37 - wyżej niż 37% wszystkich znanych CVE

Streszczenie

W MIT Kerberos 5 (krb5) przed wersją 1.22.3 występuje niedomiar liczby całkowitej i wynikający z niego odczyt poza zakresem, gdy aplikacja wywołuje gss_accept_sec_context() w systemie z mechanizmem NegoEx zarejestrowanym w /etc/gss/mech. Nieuwierzytelniony zdalny atakujący może to wywołać, potencjalnie powodując zakończenie procesu w parse_message.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego zatrzymania procesu (DoS) bez uwierzytelnienia, co może zakłócić działanie usług korzystających z Kerberos.

Rekomendacja

Zaleca się natychmiastową aktualizację MIT Kerberos 5 do wersji 1.22.3 lub nowszej, która usuwa tę podatność.

Oryginalny opis (angielski, źródło NVD)

In MIT Kerberos 5 (aka krb5) before 1.22.3, there is an integer underflow and resultant out-of-bounds read if an application calls gss_accept_sec_context() on a system with a NegoEx mechanism registered in /etc/gss/mech. An unauthenticated remote attacker can trigger this, possibly causing the process to terminate in parse_message.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS