Plateforme
cpp
Composant
botan
Corrigé dans
2.3.1
CVE-2026-32877 est une vulnérabilité de dépassement de tas affectant la bibliothèque de cryptographie C++ Botan. Plus précisément, lors du déchiffrement SM2, le code vérifiant la valeur du code d'authentification (C3) ne contrôlait pas la longueur attendue de la valeur encodée avant la comparaison. Une exploitation réussie peut entraîner un crash ou un comportement indéfini. Les versions affectées sont 2.3.0 à < 3.11.0. La vulnérabilité a été corrigée dans la version 3.11.0.
La vulnérabilité CVE-2026-32877 affecte la bibliothèque de cryptographie Botan dans les versions de 2.3.0 jusqu'à la 3.10.x. Lors du processus de décryptage SM2, le code responsable de la vérification du code d'authentification (C3) ne valide pas la longueur attendue de la valeur encodée avant d'effectuer la comparaison. Un ciphertext malveillant peut déclencher une lecture excessive de la mémoire (heap over-read) de jusqu'à 31 octets, pouvant entraîner un crash de l'application ou un comportement indéfini. Cette vulnérabilité pourrait permettre à un attaquant d'obtenir des informations sensibles ou d'exécuter du code arbitraire.
L'exploitation de cette vulnérabilité nécessite qu'un attaquant contrôle le ciphertext SM2 en cours de traitement. Un ciphertext spécialement conçu peut être utilisé pour déclencher la lecture excessive de la mémoire lors du processus de décryptage. La difficulté d'exploitation dépend de la capacité de l'attaquant à influencer le ciphertext et de la sensibilité des données protégées. Bien qu'aucune exploitation publique n'ait été signalée, la gravité de la vulnérabilité justifie une attention et une correction immédiates.
Statut de l'Exploit
EPSS
0.05% (percentile 17%)
CISA SSVC
Vecteur CVSS
La solution recommandée pour cette vulnérabilité est de mettre à niveau Botan vers la version 3.11.0 ou ultérieure. Cette version inclut une correction qui valide correctement la longueur de la valeur encodée avant la comparaison, empêchant ainsi la lecture excessive de la mémoire. Les utilisateurs sont fortement encouragés à appliquer cette mise à jour dès que possible afin de réduire le risque d'exploitation. De plus, examinez les dépendances de l'application pour vous assurer que toutes les bibliothèques sont à jour et protégées contre les vulnérabilités connues. Envisagez de mettre en œuvre la validation des entrées et d'autres pratiques de codage défensives.
Actualice la biblioteca Botan a la versión 3.11.0 o superior. Esto corregirá la vulnerabilidad de lectura fuera de límites en el proceso de descifrado SM2. La actualización asegura que la longitud del valor del código de autenticación (C3) se verifique correctamente antes de la comparación, evitando así la posible sobrelectura del heap.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
Les versions de Botan de 2.3.0 jusqu'à la 3.10.x sont affectées par cette vulnérabilité.
Vous pouvez vérifier votre version de Botan en consultant la documentation de votre projet ou en utilisant des outils de gestion des dépendances.
Si vous ne pouvez pas mettre à niveau immédiatement, envisagez de mettre en œuvre des mesures d'atténuation supplémentaires, telles que la validation des entrées et la limitation de l'exposition de la bibliothèque.
Certains outils d'analyse de sécurité statique et dynamique peuvent être en mesure de détecter cette vulnérabilité. Consultez la documentation de vos outils de sécurité pour plus d'informations.
SM2 est un algorithme de cryptographie à clé publique développé en Chine, utilisé pour les signatures numériques et le cryptage.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.