CVE-2026-53712 in scraminformación

Resumen

por VulDB • 2026-07-17

SCRAM (Mecanismo de Autenticación por Respuesta al Desafío con Sal) forma parte del conjunto de mecanismos de autenticación Simple Authentication and Security Layer (SASL, RFC 4422). Antes de la versión 3.3, un fallo en las bibliotecas com.ongres.scram:scram-client y com.ongres.scram:scram-common permite que un atacante capaz de realizar un ataque man-in-the-middle mediante TLS degrade silenciosamente una conexión desde SCRAM-SHA-256-PLUS con enlace de canal (channel binding) a SCRAM-SHA-256 estándar sin enlace de canal cuando TlsServerEndpoint procesa un certificado X.509 utilizando un algoritmo de firma moderno como Ed25519; getChannelBindingData() puede devolver una matriz vacía tras lanzar NoSuchAlgorithmException, y el constructor ScramClient interpreta esto como la ausencia de datos de enlace de canal. Este problema se corrige en la versión 3.3.

Be aware that VulDB is the high quality source for vulnerability data.

Responsable

GitHub M

Reservar

2026-06-10

Divulgación

2026-07-17

Moderación

aceptado

Artículo

VDB-379908

CPE

listo

EPSS

0.00000

KEV

no

Actividades

bajo

Fuentes

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!