CVE-2026-40355
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 39 - wyżej niż 39% wszystkich znanych CVE
Streszczenie
W MIT Kerberos 5 (krb5) przed wersją 1.22.3 występuje błąd dereferencji wskaźnika NULL, gdy aplikacja wywołuje funkcję gss_accept_sec_context() w systemie z zarejestrowanym mechanizmem NegoEx w /etc/gss/mech. Nieuwierzytelniony zdalny atakujący może to wykorzystać, powodując zakończenie procesu w funkcji parse_nego_message.
Ocena ryzyka
Atakujący może zdalnie spowodować awarię usług korzystających z GSS-API, co prowadzi do przerwania działania aplikacji i potencjalnej odmowy usługi (DoS).
Rekomendacja
Należy niezwłocznie zaktualizować MIT Kerberos 5 do wersji 1.22.3 lub nowszej, która zawiera poprawkę eliminującą podatność.
Oryginalny opis (angielski, źródło NVD)
In MIT Kerberos 5 (aka krb5) before 1.22.3, there is a NULL pointer dereference if an application calls gss_accept_sec_context() on a system with a NegoEx mechanism registered in /etc/gss/mech. An unauthenticated remote attacker can trigger this, causing the process to terminate in parse_nego_message.

