Katalog CVE

CVE-2026-55967

WysokieCVSS 7.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.07%

Percentyl 0 — wyżej niż 0% wszystkich znanych CVE

Streszczenie

Podatność w implementacji AES-GCM pozwala na zawinięcie licznika i ponowne użycie strumienia klucza przy przetwarzaniu bardzo dużych pojedynczych wiadomości (powyżej 64 GiB) przez API strumieniowe, co umożliwia odzyskanie tekstu jawnego.

Ocena ryzyka

Atakujący może odczytać zaszyfrowane dane, jeśli uda mu się wymusić przetworzenie wiadomości o rozmiarze przekraczającym 64 GiB, co prowadzi do naruszenia poufności.

Rekomendacja

Zaktualizuj bibliotekę lub oprogramowanie korzystające z AES-GCM do wersji, która prawidłowo odrzuca wiadomości o rozmiarze >64 GiB w API strumieniowych.

Oryginalny opis (angielski, źródło NVD)

AES-GCM encryption/decryption with extremely large cumulative single message sizes (>64 GiB) were not properly rejected by the streaming APIs, allowing counter wrap, keystream reuse, and consequent plaintext recovery.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS