Katalog CVE

CVE-2026-57062

NiskieCVSS 2.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.11%

Percentyl 2 — wyżej niż 2% wszystkich znanych CVE

Streszczenie

Podatność w parserze CMS w narzędziu gpgsm pakietu GnuPG (do wersji 2.5.20) nieprawidłowo obsługuje format CMS dla szyfrowania AES-GCM. Pole aes-ICVlen powinno mieć długość 12 bajtów, ale akceptowana jest również wartość 4 bajtów, co może prowadzić do błędów w weryfikacji integralności danych.

Ocena ryzyka

Organizacja może być narażona na ataki polegające na manipulacji danymi szyfrowanymi AES-GCM, ponieważ akceptowanie nieprawidłowej długości wektora inicjalizującego (ICV) osłabia mechanizm uwierzytelniania wiadomości.

Rekomendacja

Należy niezwłocznie zaktualizować GnuPG do wersji nowszej niż 2.5.20, która zawiera poprawkę dla tego problemu. Do czasu aktualizacji zaleca się unikanie używania gpgsm do przetwarzania wiadomości CMS z szyfrowaniem AES-GCM.

Oryginalny opis (angielski, źródło NVD)

CMS (Cryptographic Message Syntax) parsing in gpgsm in GnuPG through 2.5.20 mishandles the CMS format for AES-GCM because aes-ICVlen is supposed to be 12 bytes but 4 bytes is accepted. NOTE: this is related to CVE-2026-34182.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS