PT-2026-35041 · Pypi · Rust-Openssl

Alex

Publicado

2026-04-22

Atualizado

2026-04-30

CVE-2026-41898

CVSS v3.1

9.8

Crítica

Vetor

AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Name of the Vulnerable Software and Affected Versions rust-openssl versões 0.9.24 até 0.10.77

Description Trampolins FFI por trás das funções set psk client callback(), set psk server callback(), set cookie generate cb() e set stateless cookie generate cb() no SslContextBuilder encaminham o usize retornado pelo closure do usuário diretamente para o OpenSSL. Isso ocorre sem verificar o valor em relação ao &mut [u8] fornecido ao closure, o que pode resultar em estouros de buffer e outras consequências indesejadas.

Recommendations Atualizar para a versão 0.10.78.

Correção

Buffer Over-read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-130CWE-126

Identificadores relacionados

CVE-2026-41898

GHSA-HPPC-G8H3-XHP3

Produtos afetados

Rust-Openssl

PT-2026-35041 · Pypi · Rust-Openssl

CVE-2026-41898

Enumeração de Fraquezas

Identificadores relacionados

Produtos afetados

Referências · 15