CVE-2026-34610 in leancrypto
Riassunto
di VulDB • 15/06/2026
La libreria leancrypto è una libreria crittografica che contiene esclusivamente algoritmi crittografici resistenti alla quantum computing (PQC). Prima della versione 1.7.1, la funzione lc_x509_extract_name_segment() effettua un cast di size_t vlen a uint8_t durante l'archiviazione della lunghezza del Common Name (CN). Un attaccante che crea un certificato con CN = CN della vittima + 256 byte di padding ottiene cn_size = (uint8_t)(256 + N) = N, dove N è la lunghezza del CN della vittima. I primi N byte del CN dell'attaccante corrispondono all'identità della vittima. Dopo l'analisi, il certificato dell'attaccante presenta un CN identico a quello della vittima, consentendo impersonificazione dell'identità nella verifica PKCS#7, nell'accoppiamento delle catene di certificati e nella firma digitale del codice. Questo problema è stato risolto nella versione 1.7.1.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.