CVE-2026-33846 in GnuTLSالمعلومات

الملخص

بحسب VulDB • 31/05/2026

توجد ثغرة تجاوز في الذاكرة (Heap Buffer Overflow) في منطق إعادة تجميع مقاطع مصافحة DTLS في مكتبة GnuTLS. ينشأ هذا الخلل في الدالة `merge_handshake_packet()`، حيث تتم مطابقة مقاطع المصافحة الواردة ودمجها بناءً على نوع المصافحة فقط، دون التحقق من بقاء حقل `message_length` متسقًا عبر جميع مقاطع الرسالة المنطقية نفسها. يمكن لمهاجم استغلال هذا الأمر عن طريق إرسال مقاطع DTLS مُعدّة بعناية تحتوي على قيم متضاربة لحقل `message_length`، مما يؤدي إلى تخصيص المكتبة لذاكرة مؤقتة (Buffer) بناءً على مقطع أولي أصغر حجمًا، ثم الكتابة خارج حدود هذه الذاكرة باستخدام مقاطع أكبر وغير متسقة. ونظرًا لأن عملية الدمج لا تفرض فحصًا صحيحًا للحدود (Bounds Checking) مقابل حجم الذاكرة المؤقتة المخصصة، فإن ذلك يؤدي إلى كتابة خارج النطاق (Out-of-bounds Write) على الـ Heap. يمكن استغلال هذه الثغرة عن بُعد دون الحاجة إلى مصادقة عبر مسار مصافحة DTLS، وقد تؤدي إلى تعطل التطبيق أو حدوث تلف محتمل في الذاكرة.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

مسؤول

Redhat

حجز

24/03/2026

إفشاء

04/05/2026

الاعتدال

تمت الموافقة

إدخال

VDB-360952

EPSS

0.00082

KEV

لا

النشاطات

منخفض جدًا

القطاع

Police, Telecommunication, ...

المصادر

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33846
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33846
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33846/

التالي نظرة عامة السابق

Do you need the next level of professionalism?

Upgrade your account now!