Katalog CVE

CVE-2026-40355

ŚrednieCVSS 5.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.50%

Percentyl 39 - wyżej niż 39% wszystkich znanych CVE

Streszczenie

W MIT Kerberos 5 (krb5) przed wersją 1.22.3 występuje błąd dereferencji wskaźnika NULL, gdy aplikacja wywołuje funkcję gss_accept_sec_context() w systemie z zarejestrowanym mechanizmem NegoEx w /etc/gss/mech. Nieuwierzytelniony zdalny atakujący może to wykorzystać, powodując zakończenie procesu w funkcji parse_nego_message.

Ocena ryzyka

Atakujący może zdalnie spowodować awarię usług korzystających z GSS-API, co prowadzi do przerwania działania aplikacji i potencjalnej odmowy usługi (DoS).

Rekomendacja

Należy niezwłocznie zaktualizować MIT Kerberos 5 do wersji 1.22.3 lub nowszej, która zawiera poprawkę eliminującą podatność.

Oryginalny opis (angielski, źródło NVD)

In MIT Kerberos 5 (aka krb5) before 1.22.3, there is a NULL pointer dereference if an application calls gss_accept_sec_context() on a system with a NegoEx mechanism registered in /etc/gss/mech. An unauthenticated remote attacker can trigger this, causing the process to terminate in parse_nego_message.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS