CVE-2026-48829
WysokieCVSS 7.5Streszczenie
W GNU SASL przed wersją 2.2.3 występuje dereferencja wskaźnika NULL w mechanizmie DIGEST-MD5, która dotyczy zarówno klientów, jak i serwerów. Problem ten występuje w pliku lib/digest-md5/getsubopt.c, gdy używany jest znany token bez towarzyszącego znaku =.
Ocena ryzyka
Organizacje mogą być narażone na awarie aplikacji lub serwerów, co może prowadzić do przerwy w dostępności usług. Wykorzystanie tej podatności może również umożliwić atakującym przejęcie kontroli nad systemem.
Rekomendacja
Zaleca się aktualizację GNU SASL do wersji 2.2.3 lub nowszej, aby usunąć tę podatność. Należy również monitorować logi systemowe w celu wykrycia potencjalnych prób wykorzystania tej luki.
Oryginalny opis (angielski, źródło NVD)
In GNU SASL before 2.2.3, DIGEST-MD5 has a NULL pointer dereference affecting both clients and servers, via a known token with no accompanying = character. This occurs in lib/digest-md5/getsubopt.c.

