CVE-2026-6092
ŚrednieCVSS 5.3Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 11 — wyżej niż 11% wszystkich znanych CVE
Streszczenie
Podatność w implementacji protokołu TLS/DTLS, gdzie przy włączonej opcji HAVE_ENCRYPT_THEN_MAC system może nieprawidłowo używać starszej metody MAC-then-Encrypt zamiast wymaganej Encrypt-then-MAC.
Ocena ryzyka
Atakujący może wykorzystać tę lukę do przeprowadzenia ataku typu padding oracle, co może prowadzić do odszyfrowania danych lub naruszenia poufności komunikacji.
Rekomendacja
Zaleca się aktualizację biblioteki TLS/DTLS do najnowszej wersji, która wymusza stosowanie Encrypt-then-MAC, lub wyłączenie opcji HAVE_ENCRYPT_THEN_MAC, jeśli nie jest wymagana.
Oryginalny opis (angielski, źródło NVD)
When HAVE_ENCRYPT_THEN_MAC is configured, the implementation could fall back to MAC-then-Encrypt rather than enforcing Encrypt-then-MAC.

