Platform
cpp
Component
botan
Opgelost in
2.3.1
CVE-2026-32877 is een heap over-read kwetsbaarheid in de C++ cryptografie bibliotheek Botan. In versies 2.3.0 tot en met 3.10.x controleert de code tijdens SM2 decryptie de lengte van de authenticatiecode (C3) niet correct, wat kan leiden tot een heap over-read van maximaal 31 bytes. Dit kan resulteren in een crash of ander ongedefinieerd gedrag. De kwetsbaarheid treft Botan versies 2.3.0 tot en met 3.10.x. Het probleem is verholpen in versie 3.11.0.
CVE-2026-32877 treft de Botan-cryptografielibrairie in versies van 2.3.0 tot en met 3.10.x. Tijdens het SM2-decrypteerproces controleert de code die verantwoordelijk is voor het verifiëren van de authenticatiecode (C3) niet of de verwachte lengte van de gecodeerde waarde wordt nageleefd voordat de vergelijking wordt uitgevoerd. Een kwaadaardige ciphertext kan een heap-overread van maximaal 31 bytes veroorzaken, wat kan leiden tot een crash van de applicatie of ander ongedefinieerd gedrag. Deze kwetsbaarheid kan een aanvaller in staat stellen gevoelige informatie te verkrijgen of willekeurige code uit te voeren.
Het exploiteren van deze kwetsbaarheid vereist dat een aanvaller de controle heeft over de SM2-ciphertext die wordt verwerkt. Een speciaal ontworpen ciphertext kan worden gebruikt om de heap-overread tijdens het decrypteerproces uit te lokken. De moeilijkheidsgraad van de exploitatie hangt af van het vermogen van de aanvaller om de ciphertext te beïnvloeden en van de gevoeligheid van de beschermde gegevens. Hoewel er geen publieke exploits zijn gerapporteerd, rechtvaardigt de ernst van de kwetsbaarheid onmiddellijke aandacht en herstel.
Exploit Status
EPSS
0.05% (17% percentiel)
CISA SSVC
CVSS-vector
De aanbevolen mitigatie voor deze kwetsbaarheid is het upgraden van Botan naar versie 3.11.0 of hoger. Deze versie bevat een fix die de lengte van de gecodeerde waarde correct verifieert voordat de vergelijking wordt uitgevoerd, waardoor de heap-overread wordt voorkomen. Gebruikers worden ten zeerste aangeraden om deze update zo snel mogelijk toe te passen om het risico op uitbuiting te verminderen. Controleer bovendien de applicatie-afhankelijkheden om ervoor te zorgen dat alle bibliotheken up-to-date zijn en beschermd zijn tegen bekende kwetsbaarheden. Overweeg invoervalidatie en andere defensieve programmeerpraktijken te implementeren.
Actualice la biblioteca Botan a la versión 3.11.0 o superior. Esto corregirá la vulnerabilidad de lectura fuera de límites en el proceso de descifrado SM2. La actualización asegura que la longitud del valor del código de autenticación (C3) se verifique correctamente antes de la comparación, evitando así la posible sobrelectura del heap.
Kwetsbaarheidsanalyses en kritieke waarschuwingen direct in uw inbox.
Botan-versies van 2.3.0 tot en met 3.10.x worden getroffen door deze kwetsbaarheid.
U kunt uw Botan-versie controleren door de documentatie van uw project te raadplegen of dependency-managementtools te gebruiken.
Als u niet onmiddellijk kunt upgraden, overweeg dan aanvullende mitigatiemaatregelen te implementeren, zoals invoervalidatie en het beperken van de blootstelling van de bibliotheek.
Sommige statische en dynamische beveiligingsanalysep tools kunnen mogelijk deze kwetsbaarheid detecteren. Raadpleeg de documentatie van uw beveiligingstools voor meer informatie.
SM2 is een public-key cryptografie-algoritme dat in China is ontwikkeld en wordt gebruikt voor digitale handtekeningen en encryptie.
Upload je dependency-bestand en kom direct te weten of deze en andere CVEs jou raken.