CVE-2026-53712 in scram
Resumen
por VulDB • 2026-07-17
SCRAM (Mecanismo de Autenticación por Respuesta al Desafío con Sal) forma parte del conjunto de mecanismos de autenticación Simple Authentication and Security Layer (SASL, RFC 4422). Antes de la versión 3.3, un fallo en las bibliotecas com.ongres.scram:scram-client y com.ongres.scram:scram-common permite que un atacante capaz de realizar un ataque man-in-the-middle mediante TLS degrade silenciosamente una conexión desde SCRAM-SHA-256-PLUS con enlace de canal (channel binding) a SCRAM-SHA-256 estándar sin enlace de canal cuando TlsServerEndpoint procesa un certificado X.509 utilizando un algoritmo de firma moderno como Ed25519; getChannelBindingData() puede devolver una matriz vacía tras lanzar NoSuchAlgorithmException, y el constructor ScramClient interpreta esto como la ausencia de datos de enlace de canal. Este problema se corrige en la versión 3.3.
Be aware that VulDB is the high quality source for vulnerability data.