CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-41898

Critical
Published: Translated: NVD NIST

Summary

Podatność w rust-openssl występuje w wersjach od 0.9.24 do przed 0.10.78, gdzie trampoliny FFI w metodach SslContextBuilder mogą przekazywać wartość usize zwróconą przez użytkownika bez odpowiedniej weryfikacji. Może to prowadzić do przepełnienia bufora i innych niezamierzonych konsekwencji.

Risk Assessment

Organizacje korzystające z podatnych wersji rust-openssl mogą być narażone na ataki wykorzystujące przepełnienie bufora, co może prowadzić do nieautoryzowanego dostępu do pamięci i potencjalnych awarii systemu.

Recommendation

Zaleca się aktualizację rust-openssl do wersji 0.10.78 lub nowszej, aby usunąć tę podatność i zminimalizować ryzyko związane z bezpieczeństwem.

Original NVD description (English source)

rust-openssl provides OpenSSL bindings for the Rust programming language. From 0.9.24 to before 0.10.78, the FFI trampolines behind SslContextBuilder::set_psk_client_callback, set_psk_server_callback, set_cookie_generate_cb, and set_stateless_cookie_generate_cb forwarded the user closure's returned usize directly to OpenSSL without checking it against the &mut [u8] that was handed to the closure. This can lead to buffer overflows and other unintended consequences. This vulnerability is fixed in 0.10.78.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS