CVE-2026-55967
WysokieCVSS 7.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 0 — wyżej niż 0% wszystkich znanych CVE
Streszczenie
Podatność w implementacji AES-GCM pozwala na zawinięcie licznika i ponowne użycie strumienia klucza przy przetwarzaniu bardzo dużych pojedynczych wiadomości (powyżej 64 GiB) przez API strumieniowe, co umożliwia odzyskanie tekstu jawnego.
Ocena ryzyka
Atakujący może odczytać zaszyfrowane dane, jeśli uda mu się wymusić przetworzenie wiadomości o rozmiarze przekraczającym 64 GiB, co prowadzi do naruszenia poufności.
Rekomendacja
Zaktualizuj bibliotekę lub oprogramowanie korzystające z AES-GCM do wersji, która prawidłowo odrzuca wiadomości o rozmiarze >64 GiB w API strumieniowych.
Oryginalny opis (angielski, źródło NVD)
AES-GCM encryption/decryption with extremely large cumulative single message sizes (>64 GiB) were not properly rejected by the streaming APIs, allowing counter wrap, keystream reuse, and consequent plaintext recovery.

