CVE-2026-48829
HighCVSS 7.5Summary
W GNU SASL przed wersją 2.2.3 występuje dereferencja wskaźnika NULL w mechanizmie DIGEST-MD5, która dotyczy zarówno klientów, jak i serwerów. Problem ten występuje w pliku lib/digest-md5/getsubopt.c, gdy używany jest znany token bez towarzyszącego znaku =.
Risk Assessment
Organizacje mogą być narażone na awarie aplikacji lub serwerów, co może prowadzić do przerwy w dostępności usług. Wykorzystanie tej podatności może również umożliwić atakującym przejęcie kontroli nad systemem.
Recommendation
Zaleca się aktualizację GNU SASL do wersji 2.2.3 lub nowszej, aby usunąć tę podatność. Należy również monitorować logi systemowe w celu wykrycia potencjalnych prób wykorzystania tej luki.
Original NVD description (English source)
In GNU SASL before 2.2.3, DIGEST-MD5 has a NULL pointer dereference affecting both clients and servers, via a known token with no accompanying = character. This occurs in lib/digest-md5/getsubopt.c.

