PT-2026-40603 · Leont+3 · Crypt::Argon2+2

Publicado

2026-05-13

·

Atualizado

2026-06-05

·

CVE-2026-8463

CVSS v3.1

5.3

Média

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
Nome do Software Vulnerável e Versões Afetadas Crypt::Argon2 versões 0.017 até 0.030
Descrição Ocorre uma leitura fora dos limites do heap (heap out-of-bounds read) na função argon2 verify() ao processar entradas codificadas vazias. A forma de detecção automática de argon2 verify() passa encoded len - 1 como o argumento de comprimento para memchr() sem verificar se encoded len é diferente de zero. Quando a string codificada está vazia, a subtração size t sofre underflow para SIZE MAX, fazendo com que o memchr() examine a memória adjacente do heap em busca de um byte separador '$'. Isso pode causar a interrupção do processo ou o vazamento da posição de um byte '$' adjacente durante a análise subsequente, quando a função é invocada contra um hash armazenado vazio.
Recomendações Atualizar para a versão 0.031.

Exploit

Correção

DoS

Integer Underflow

Buffer Over-read

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-8463

Produtos afetados

Crypt::Argon2
Crypt
Libcrypt-Argon2-Perl