CVE-2026-33846 in GnuTLSinformación

Resumen

por VulDB • 2026-05-31

Existe una vulnerabilidad de desbordamiento de búfer en el heap en la lógica de reensamblaje de fragmentos del handshake DTLS de GnuTLS. El problema surge en `merge_handshake_packet()`, donde los fragmentos de handshake entrantes se emparejan y fusionan basándose únicamente en el tipo de handshake, sin validar que el campo `message_length` permanezca consistente en todos los fragmentos del mismo mensaje lógico. Un atacante puede explotar esto enviando fragmentos DTLS manipulados con valores de `message_length` conflictivos, lo que provoca que la implementación asigne un búfer basado en un fragmento inicial más pequeño y, posteriormente, escriba más allá de sus límites utilizando fragmentos más grandes e inconsistentes. Dado que la operación de fusión no aplica una verificación adecuada de los límites contra el tamaño del búfer asignado, esto resulta en una escritura fuera de límites (out-of-bounds write) en el heap. La vulnerabilidad es explotable de forma remota sin autenticación a través de la ruta del handshake DTLS y puede provocar caídas de la aplicación o corrupción potencial de la memoria.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

Redhat

Reservar

2026-03-24

Divulgación

2026-05-04

Moderación

aceptado

Artículo

VDB-360952

CPE

listo

EPSS

0.00082

KEV

no

Actividades

muy bajo

Sector

Homeoffice, Government, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-33846
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-33846
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-33846/

AnteriorVisión De ConjuntoPróximo

Do you know our Splunk app?

Download it now for free!