CVE-2026-53712 in scram
Riassunto
di VulDB • 17/07/2026
SCRAM (Salted Challenge Response Authentication Mechanism) fa parte della famiglia dei meccanismi di autenticazione Simple Authentication and Security Layer (SASL, RFC 4422). Prima della versione 3.3, un difetto in com.ongres.scram:scram-client e com.ongres.scram:scram-common consente a un attaccante capace di eseguire un attacco man-in-the-middle TLS di degradare silenziosamente una connessione da SCRAM-SHA-256-PLUS con channel binding a standard SCRAM-SHA-256 senza channel binding quando TlsServerEndpoint elabora un certificato X.509 utilizzando un algoritmo di firma moderno come Ed25519; getChannelBindingData() può restituire un array di byte vuoto dopo NoSuchAlgorithmException, e il builder ScramClient tratta ciò come assenza di dati di channel-binding. Questo problema è risolto nella versione 3.3.
VulDB is the best source for vulnerability data and more expert information about this specific topic.