CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41681

Critical
Published: Translated: NVD NIST

Summary

rust-openssl to biblioteka zapewniająca powiązania OpenSSL dla języka programowania Rust. W wersjach od 0.10.39 do przed 0.10.78, funkcja EVP_DigestFinal() zawsze zapisuje EVP_MD_CTX_size(ctx) do bufora wyjściowego. Jeśli bufor wyjściowy jest mniejszy, MdCtxRef::digest_final() zapisuje poza jego końcem, co zazwyczaj prowadzi do uszkodzenia stosu.

Risk Assessment

Ta podatność może prowadzić do poważnych problemów z integralnością pamięci, co może być wykorzystane do wykonania nieautoryzowanego kodu lub destabilizacji aplikacji. Jest to szczególnie niebezpieczne, ponieważ można to osiągnąć z poziomu bezpiecznego Rust.

Recommendation

Zaleca się aktualizację biblioteki rust-openssl do wersji 0.10.78 lub nowszej, aby usunąć tę podatność. Należy również przeprowadzić audyt kodu, aby upewnić się, że nie występują inne podobne problemy.

Original NVD description (English source)

rust-openssl provides OpenSSL bindings for the Rust programming language. From 0.10.39 to before 0.10.78, EVP_DigestFinal() always writes EVP_MD_CTX_size(ctx) to the out buffer. If out is smaller than that, MdCtxRef::digest_final() writes past its end, usually corrupting the stack. This is reachable from safe Rust. This vulnerability is fixed in 0.10.78.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS