Katalog CVE

CVE-2026-6458

ŚrednieCVSS 5.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.13%

Percentyl 3 — wyżej niż 3% wszystkich znanych CVE

Streszczenie

Brakujący krok kryptograficzny w oprogramowaniu układowym Caliptra Core prowadzi do nieprawidłowego tagu uwierzytelniającego GCM. Użycie API AES-256-GCM ze pustym AAD skutkuje tym, że stan akumulatora GHASH nie jest zapisywany po pierwszym wywołaniu aktualizacji, co powoduje, że końcowy tag nie uwzględnia pierwszej partii przetworzonego szyfrogramu.

Ocena ryzyka

Organizacje mogą być narażone na modyfikacje szyfrogramu bez odpowiedniego odzwierciedlenia zmian w tagu, co może prowadzić do poważnych luk w bezpieczeństwie danych.

Rekomendacja

Zaleca się aktualizację oprogramowania układowego do wersji, która naprawia tę podatność oraz monitorowanie użycia API AES-256-GCM w celu zapewnienia integralności danych.

Oryginalny opis (angielski, źródło NVD)

Missing cryptographic step in Caliptra Core Firmware (aes_256_gcm_update module) results in an incorrect GCM authentication tag. When the streaming AES-256-GCM API is used with empty AAD, the hardware GHASH accumulator state is not saved after the first update call, causing the final tag to exclude the first batch of processed ciphertext. Ciphertext produced by that call may be modified without the tag reflecting the change. This issue affects Core Runtime Firmware: from 2.0.0 through 2.0.1, 2.1.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS