CVE Catalog
EnglishPolski(English translation not available - showing Polish)

CVE-2026-30909

Critical
Published: Translated: NVD NIST

Summary

Wersje Crypt::NaCl::Sodium do 2.002 dla Perla mają potencjalne przepełnienia całkowite. Funkcje bin2hex, encrypt, aes256gcm_encrypt_afternm i seal nie sprawdzają, czy rozmiar wyjścia będzie mniejszy niż SIZE_MAX, co może prowadzić do owinięcia całkowitego i zbyt małego bufora wyjściowego.

Risk Assessment

Chociaż napotkanie tego problemu jest mało prawdopodobne, ponieważ długość wiadomości musiałaby być bardzo duża, to jednak w przypadku wystąpienia podatności może to prowadzić do nieprzewidzianych zachowań aplikacji.

Recommendation

Zaleca się aktualizację do najnowszej wersji Crypt::NaCl::Sodium, aby zminimalizować ryzyko związane z przepełnieniem całkowitym oraz monitorowanie długości wiadomości w funkcjach, które mogą być podatne.

Original NVD description (English source)

Crypt::NaCl::Sodium versions through 2.002 for Perl has potential integer overflows. bin2hex, encrypt, aes256gcm_encrypt_afternm and seal functions do not check that output size will be less than SIZE_MAX, which could lead to integer wraparound causing an undersized output buffer. Encountering this issue is unlikely as the message length would need to be very large. For bin2hex() the bin_len would have to be > SIZE_MAX / 2 For encrypt() the msg_len would need to be > SIZE_MAX - 16U For aes256gcm_encrypt_afternm() the msg_len would need to be > SIZE_MAX - 16U For seal() the enc_len would need to be > SIZE_MAX - 64U

Vulnerability data from NVD (NIST) · CISA KEV · EPSS