Katalog CVE

CVE-2026-3833

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.57%

Percentyl 43 - wyżej niż 43% wszystkich znanych CVE

Streszczenie

W bibliotece GnuTLS stwierdzono podatność polegającą na rozróżnianiu wielkości liter podczas porównywania etykiet w ograniczeniach nazw (nameConstraints) dla dNSName i rfc822Name. Atakujący może wykorzystać różnice w wielkości liter w polu Subject Alternative Name (SAN) certyfikatu, aby obejść politykę i uzyskać akceptację certyfikatu, który powinien być odrzucony.

Ocena ryzyka

Ryzyko polega na możliwości ominięcia mechanizmów bezpieczeństwa opartych na ograniczeniach nazw, co może prowadzić do nieautoryzowanego dostępu do systemów lub ujawnienia poufnych informacji.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę GnuTLS do wersji, w której poprawiono porównywanie wielkości liter w ograniczeniach nazw. Do czasu aktualizacji zaleca się ograniczenie zaufania do certyfikatów pochodzących z niezaufanych źródeł.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in gnutls. This vulnerability occurs because gnutls performs case-sensitive comparisons of `nameConstraints` labels, specifically for `dNSName` (DNS) or `rfc822Name` (email) constraints within `excludedSubtrees` or `permittedSubtrees`. A remote attacker can exploit this by crafting a leaf certificate with casing differences in the Subject Alternative Name (SAN), leading to a policy bypass where a certificate that should be rejected is instead accepted. This could result in unauthorized access or information disclosure.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS