Katalog CVE

CVE-2026-6092

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.21%

Percentyl 11 — wyżej niż 11% wszystkich znanych CVE

Streszczenie

Podatność w implementacji protokołu TLS/DTLS, gdzie przy włączonej opcji HAVE_ENCRYPT_THEN_MAC system może nieprawidłowo używać starszej metody MAC-then-Encrypt zamiast wymaganej Encrypt-then-MAC.

Ocena ryzyka

Atakujący może wykorzystać tę lukę do przeprowadzenia ataku typu padding oracle, co może prowadzić do odszyfrowania danych lub naruszenia poufności komunikacji.

Rekomendacja

Zaleca się aktualizację biblioteki TLS/DTLS do najnowszej wersji, która wymusza stosowanie Encrypt-then-MAC, lub wyłączenie opcji HAVE_ENCRYPT_THEN_MAC, jeśli nie jest wymagana.

Oryginalny opis (angielski, źródło NVD)

When HAVE_ENCRYPT_THEN_MAC is configured, the implementation could fall back to MAC-then-Encrypt rather than enforcing Encrypt-then-MAC.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS