CVE-2026-56968
NiskieCVSS 3.7Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 14 — wyżej niż 14% wszystkich znanych CVE
Streszczenie
W bibliotece GNU SASL przed wersją 2.2.4 brakuje sanityzacji krótkiego wyzwania w funkcji _gsasl_ntlm_client_step w kliencie NTLM, co może prowadzić do ujawnienia pamięci przez spreparowany serwer.
Ocena ryzyka
Atakujący może wykorzystać tę podatność do odczytu fragmentów pamięci aplikacji używającej GNU SASL, co może prowadzić do wycieku poufnych danych, takich jak hasła czy klucze kryptograficzne.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę GNU SASL do wersji 2.2.4 lub nowszej, która zawiera niezbędne poprawki bezpieczeństwa.
Oryginalny opis (angielski, źródło NVD)
GNU SASL before 2.2.4 lacks sanitization of a short challenge in _gsasl_ntlm_client_step in the NTLM client, which could result in memory disclosure via a crafted server.

