CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41677

Critical
Published: Translated: NVD NIST

Summary

rust-openssl dostarcza powiązania OpenSSL dla języka programowania Rust. W wersjach od 0.9.0 do przed 0.10.78, API *_from_pem_callback nie weryfikowały długości zwracanej przez callback użytkownika, co mogło prowadzić do nadmiernego odczytu bufora przez niektóre wersje OpenSSL.

Risk Assessment

Organizacje mogą być narażone na ryzyko nadmiernego odczytu pamięci, co może prowadzić do ujawnienia wrażliwych danych. Wersje OpenSSL 3.x nie są dotknięte tą podatnością.

Recommendation

Zaleca się aktualizację rust-openssl do wersji 0.10.78 lub nowszej, aby usunąć tę podatność.

Original NVD description (English source)

rust-openssl provides OpenSSL bindings for the Rust programming language. From 0.9.0 to before 0.10.78, the *_from_pem_callback APIs did not validate the length returned by the user's callback. A password callback that returns a value larger than the buffer it was given can cause some versions of OpenSSL to over-read this buffer. OpenSSL 3.x is not affected by this. This vulnerability is fixed in 0.10.78.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS