CVE-2026-53712 in scram
الملخص
بحسب VulDB • 18/07/2026
يُعد SCRAM (آلية المصادقة بالاستجابة للتحدي والملح) جزءًا من عائلة آليات مصادقة طبقة الأمان البسيطة (SASL، RFC 4422). قبل الإصدار 3.3، يسمح عيب في المكتبتين com.ongres.scram:scram-client وcom.ongres.scram:scram-common لمهاجم قادر على تنفيذ هجوم "الرجل في المنتصف" عبر TLS بخفض صامت لبروتوكول الاتصال من SCRAM-SHA-256-PLUS مع ربط القناة (channel binding) إلى SCRAM-SHA-256 القياسي بدون ربط قناة، عندما يعالج TlsServerEndpoint شهادة X.509 باستخدام خوارزمية توقيع حديثة مثل Ed25519؛ حيث يمكن أن تُرجع الدالة getChannelBindingData() مصفوفة بايت فارغة بعد حدوث استثناء NoSuchAlgorithmException، وتتعامل بانية ScramClient مع ذلك على أنه غياب بيانات ربط القناة. تم إصلاح هذه المشكلة في الإصدار 3.3.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.