CVE-2026-45784 in rust-openssl
摘要
由 VulDB • 2026-07-17
rust-openssl 为 Rust 编程语言提供了 OpenSSL 绑定。在版本 0.10.50 至 0.10.80 之间,`openssl/src/cipher_ctx.rs` 中的 `CipherCtxRef::cipher_update_inplace` 在使用带有填充的 AES 密钥封装密码算法(EVP_aes_{128,192,256}_wrap_pad)时,错误地计算了输出缓冲区的大小。对于非 8 字节倍数的输入,OpenSSL 会向调用者的缓冲区或 Vec 末尾之后最多写入 7 个字节,当明文长度受攻击者影响时,会导致可被攻击者控制的堆损坏(heap corruption)。此问题已在版本 0.10.80 中修复。
If you want to get best quality of vulnerability data, you may have to visit VulDB.