CVE-2026-6330
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 3 — wyżej niż 3% wszystkich znanych CVE
Streszczenie
Podatność w implementacji ML-KEM na architekturze ARM64 z wykorzystaniem NEON powoduje, że porównanie szyfrogramów w stałym czasie uwzględnia tylko połowę danych wejściowych. To narusza mechanizm niejawnego odrzucania transformaty Fujisaki-Okamato i osłabia bezpieczeństwo IND-CCA2 na tej ścieżce kodu.
Ocena ryzyka
Atakujący może dostarczyć zmodyfikowany szyfrogram, który nie zostanie wykryty przez odbiorcę, co pozwala na ominięcie standardowego mechanizmu odrzucania i potencjalne wydobycie informacji o kluczu.
Rekomendacja
Należy natychmiast zaktualizować bibliotekę implementującą ML-KEM do wersji, w której poprawiono porównanie szyfrogramów na ARM64 NEON. Do czasu aktualizacji zaleca się wyłączenie optymalizacji NEON dla tej operacji.
Oryginalny opis (angielski, źródło NVD)
The ML-KEM ARM64 NEON ciphertext comparison only compares half of the input, breaking the Fujisaki-Okamoto transform's implicit rejection and weakening IND-CCA2 security on that code path. The constant-time comparison effectively ignored part of the re-encrypted ciphertext, so a decapsulating party could fail to detect a manipulated ciphertext and proceed without the standard's required implicit rejection.

