CVE-2026-41676 in rust-opensslinformación

Resumen

por VulDB • 2026-05-09

rust-openssl proporciona enlaces (bindings) de OpenSSL para el lenguaje de programación Rust. Desde la versión 0.9.27 hasta antes de la 0.10.78, Deriver::derive (y PkeyCtxRef::derive) establece len = buf.len() y lo pasa como la longitud de entrada/salida a EVP_PKEY_derive, confiando en que OpenSSL lo respete. En OpenSSL 1.1.x, X25519, X448, DH y HKDF-extract ignoran el *keylen entrante, escribiendo incondicionalmente el secreto compartido completo (32/56 bytes o el tamaño del primo). Un llamador que pasa un slice corto provoca un desbordamiento de heap/stack desde código seguro. Los proveedores de OpenSSL 3.x sí realizan esta comprobación, por lo que esto solo afecta a versiones más antiguas de OpenSSL. Esta vulnerabilidad está corregida en la versión 0.10.78.

Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Responsable

GitHub M

Reservar

2026-04-22

Divulgación

2026-04-24

Moderación

aceptado

Artículo

VDB-359491

CPE

listo

EPSS

0.00066

KEV

no

Actividades

muy bajo

Sector

Pharma, Insurance, ...

Fuentes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-41676
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-41676
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-41676/

AnteriorVisión De ConjuntoPróximo

Might our Artificial Intelligence support you?

Check our Alexa App!