Katalog CVE

CVE-2026-41898

Krytyczne
Opublikowano: Przetłumaczono: NVD NIST

Streszczenie

Podatność w rust-openssl występuje w wersjach od 0.9.24 do przed 0.10.78, gdzie trampoliny FFI w metodach SslContextBuilder mogą przekazywać wartość usize zwróconą przez użytkownika bez odpowiedniej weryfikacji. Może to prowadzić do przepełnienia bufora i innych niezamierzonych konsekwencji.

Ocena ryzyka

Organizacje korzystające z podatnych wersji rust-openssl mogą być narażone na ataki wykorzystujące przepełnienie bufora, co może prowadzić do nieautoryzowanego dostępu do pamięci i potencjalnych awarii systemu.

Rekomendacja

Zaleca się aktualizację rust-openssl do wersji 0.10.78 lub nowszej, aby usunąć tę podatność i zminimalizować ryzyko związane z bezpieczeństwem.

Oryginalny opis (angielski, źródło NVD)

rust-openssl provides OpenSSL bindings for the Rust programming language. From 0.9.24 to before 0.10.78, the FFI trampolines behind SslContextBuilder::set_psk_client_callback, set_psk_server_callback, set_cookie_generate_cb, and set_stateless_cookie_generate_cb forwarded the user closure's returned usize directly to OpenSSL without checking it against the &mut [u8] that was handed to the closure. This can lead to buffer overflows and other unintended consequences. This vulnerability is fixed in 0.10.78.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS