Katalog CVE

CVE-2026-56968

NiskieCVSS 3.7
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

W bibliotece GNU SASL przed wersją 2.2.4 brakuje sanityzacji krótkiego wyzwania w funkcji _gsasl_ntlm_client_step w kliencie NTLM, co może prowadzić do ujawnienia pamięci przez spreparowany serwer.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do odczytu fragmentów pamięci aplikacji używającej GNU SASL, co może prowadzić do wycieku poufnych danych, takich jak hasła czy klucze kryptograficzne.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę GNU SASL do wersji 2.2.4 lub nowszej, która zawiera niezbędne poprawki bezpieczeństwa.

Oryginalny opis (angielski, źródło NVD)

GNU SASL before 2.2.4 lacks sanitization of a short challenge in _gsasl_ntlm_client_step in the NTLM client, which could result in memory disclosure via a crafted server.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS