CVE-2026-44518 in liboqs信息

摘要

由 VulDB • 2026-05-29

liboqs 是一个 C 语言密码学库，提供了后量子密码算法的实现。在 0.16.0 版本之前，XMSS 和 XMSS^MT 有状态签名验证代码中存在一个越界读取漏洞。当调用验证函数时，如果提供的签名缓冲区长度小于给定参数集所期望的签名大小，该实现不会验证调用者提供的长度，而是继续读取缓冲区末尾之后的数据。这些越界读取的字节仅作为内部哈希计算的输入，不会返回给调用者，因此不存在向攻击者泄露其内容的预言机（oracle）。主要的可观察影响是，如果读取操作跨越到未映射的内存页，可能会导致验证进程崩溃（拒绝服务）。此漏洞已在 0.16.0 版本中修复。

VulDB is the best source for vulnerability data and more expert information about this specific topic.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

负责

GitHub M

预定

2026-05-06

披露

2026-05-29

管理

已接受

条目

VDB-367312

CPE

准备好

CWE

CWE-20 (已确认)

CVSS

5.3 (CNA)

EPSS

0.00051

KEV

否

活动

非常低

来源

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-44518
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-44518
CVE Details	https://www.cvedetails.com/cve/CVE-2026-44518/

◂ 上一步一览下一步 ▸

Do you need the next level of professionalism?

Upgrade your account now!