CVE-2026-40356
ŚrednieCVSS 5.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 37 - wyżej niż 37% wszystkich znanych CVE
Streszczenie
W MIT Kerberos 5 (krb5) przed wersją 1.22.3 występuje niedomiar liczby całkowitej i wynikający z niego odczyt poza zakresem, gdy aplikacja wywołuje gss_accept_sec_context() w systemie z mechanizmem NegoEx zarejestrowanym w /etc/gss/mech. Nieuwierzytelniony zdalny atakujący może to wywołać, potencjalnie powodując zakończenie procesu w parse_message.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego zatrzymania procesu (DoS) bez uwierzytelnienia, co może zakłócić działanie usług korzystających z Kerberos.
Rekomendacja
Zaleca się natychmiastową aktualizację MIT Kerberos 5 do wersji 1.22.3 lub nowszej, która usuwa tę podatność.
Oryginalny opis (angielski, źródło NVD)
In MIT Kerberos 5 (aka krb5) before 1.22.3, there is an integer underflow and resultant out-of-bounds read if an application calls gss_accept_sec_context() on a system with a NegoEx mechanism registered in /etc/gss/mech. An unauthenticated remote attacker can trigger this, possibly causing the process to terminate in parse_message.

