CVE-2026-57062
NiskieCVSS 2.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 2 — wyżej niż 2% wszystkich znanych CVE
Streszczenie
Podatność w parserze CMS w narzędziu gpgsm pakietu GnuPG (do wersji 2.5.20) nieprawidłowo obsługuje format CMS dla szyfrowania AES-GCM. Pole aes-ICVlen powinno mieć długość 12 bajtów, ale akceptowana jest również wartość 4 bajtów, co może prowadzić do błędów w weryfikacji integralności danych.
Ocena ryzyka
Organizacja może być narażona na ataki polegające na manipulacji danymi szyfrowanymi AES-GCM, ponieważ akceptowanie nieprawidłowej długości wektora inicjalizującego (ICV) osłabia mechanizm uwierzytelniania wiadomości.
Rekomendacja
Należy niezwłocznie zaktualizować GnuPG do wersji nowszej niż 2.5.20, która zawiera poprawkę dla tego problemu. Do czasu aktualizacji zaleca się unikanie używania gpgsm do przetwarzania wiadomości CMS z szyfrowaniem AES-GCM.
Oryginalny opis (angielski, źródło NVD)
CMS (Cryptographic Message Syntax) parsing in gpgsm in GnuPG through 2.5.20 mishandles the CMS format for AES-GCM because aes-ICVlen is supposed to be 12 bytes but 4 bytes is accepted. NOTE: this is related to CVE-2026-34182.

