Katalog CVE

CVE-2026-27459

KrytyczneCVSS 9.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.70%

Percentyl 49 - wyżej niż 49% wszystkich znanych CVE

Streszczenie

Podatność w bibliotece pyOpenSSL w wersjach od 22.0.0 do 25.x pozwala na przepełnienie bufora OpenSSL, gdy funkcja zwrotna `set_cookie_generate_callback` zwróci wartość ciasteczka dłuższą niż 256 bajtów. Problem został naprawiony w wersji 26.0.0 poprzez odrzucanie zbyt długich wartości ciasteczek.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do przepełnienia bufora, co może prowadzić do awarii aplikacji lub potencjalnie do zdalnego wykonania kodu w kontekście procesu korzystającego z pyOpenSSL.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę pyOpenSSL do wersji 26.0.0 lub nowszej. Jeśli aktualizacja nie jest możliwa, należy ograniczyć długość wartości ciasteczek zwracanych przez funkcję zwrotną do maksymalnie 256 bajtów.

Oryginalny opis (angielski, źródło NVD)

pyOpenSSL is a Python wrapper around the OpenSSL library. Starting in version 22.0.0 and prior to version 26.0.0, if a user provided callback to `set_cookie_generate_callback` returned a cookie value greater than 256 bytes, pyOpenSSL would overflow an OpenSSL provided buffer. Starting in version 26.0.0, cookie values that are too long are now rejected.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS