CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-34872

Critical
Published: Translated: NVD NIST

Summary

W Mbed TLS w wersjach 3.5.x i 3.6.x do 3.6.5 oraz TF-PSA-Crypto 1.0 odkryto problem związany z brakiem zachowania przyczynowego w FFDH z powodu niewłaściwej walidacji danych wejściowych. Używając Diffie-Hellmana w polu skończonym, druga strona może wymusić, aby wspólny sekret znalazł się w małym zbiorze wartości.

Risk Assessment

Brak zachowania przyczynowego może stanowić zagrożenie dla protokołów, które na nim polegają, co może prowadzić do osłabienia bezpieczeństwa wymiany kluczy. Atak może być przeprowadzony przez drugą stronę lub, w zależności od protokołu, przez aktywnego atakującego w sieci.

Recommendation

Zaleca się aktualizację Mbed TLS do najnowszej wersji, aby usunąć tę podatność oraz przeprowadzenie przeglądu używanych protokołów w celu oceny ich odporności na tego typu ataki.

Original NVD description (English source)

An issue was discovered in Mbed TLS 3.5.x and 3.6.x through 3.6.5 and TF-PSA-Crypto 1.0. There is a lack of contributory behavior in FFDH due to improper input validation. Using finite-field Diffie-Hellman, the other party can force the shared secret into a small set of values (lack of contributory behavior). This is a problem for protocols that depend on contributory behavior (which is not the case for TLS). The attack can be carried by the peer, or depending on the protocol by an active network attacker (person in the middle).

Vulnerability data from NVD (NIST) · CISA KEV · EPSS