PT-2026-22703 · Amazon Web Services · Aws-Lc

Joshua Rogers

Publicado

2026-03-02

Atualizado

2026-03-11

CVE-2026-3337

CVSS v4.0

8.2

Alta

Vetor

AV:N/AC:H/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X

Name of the Vulnerable Software and Affected Versions AWS-LC versions prior to 1.69.0

Description An observable timing discrepancy in AES-CCM decryption within AWS-LC could allow an unauthenticated user to potentially determine authentication tag validity through timing analysis. The impacted implementations utilize the EVP CIPHER API, specifically EVP aes 128 ccm, EVP aes 192 ccm, and EVP aes 256 ccm.

Recommendations Upgrade to AWS-LC version 1.69.0.

Correção

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-208

Identificadores relacionados

CVE-2026-3337

GHSA-65P9-R9H6-22VJ

GHSA-FRMV-5GCM-JWXH

RUSTSEC-2026-0043

RUSTSEC-2026-0045

Produtos afetados

Aws-Lc

PT-2026-22703 · Amazon Web Services · Aws-Lc

CVE-2026-3337

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 25