Katalog CVE

CVE-2026-34582

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.23%

Percentyl 14 — wyżej niż 14% wszystkich znanych CVE

Streszczenie

Biblioteka kryptograficzna Botan w wersjach przed 3.11.1 zawiera podatność w implementacji TLS 1.3, która pozwala na przetwarzanie rekordów danych aplikacji przed odebraniem wiadomości Finished. Klient może ominąć uwierzytelnianie certyfikatowe, pomijając całkowicie wiadomości Certificate, CertificateVerify i Finished, a zamiast tego wysyłając rekordy danych aplikacji.

Ocena ryzyka

Ryzyko polega na możliwości obejścia uwierzytelniania klienta przez atakującego, co może prowadzić do nieautoryzowanego dostępu do serwera wymagającego certyfikatów klienckich.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki Botan do wersji 3.11.1 lub nowszej, która zawiera poprawkę eliminującą tę podatność.

Oryginalny opis (angielski, źródło NVD)

Botan is a C++ cryptography library. Prior to version 3.11.1, the TLS 1.3 implementation allowed ApplicationData records to be processed prior to the Finished message being received. A server which is attempting to enforce client authentication via certificates can by bypassed by a client which entirely omits Certificate, CertificateVerify, and the Finished message and instead sends application data records. This vulnerability is fixed in 3.11.1.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS