PT-2026-5009 · Gnupg · Gnupg

Openai Security Research

·

Publicado

2026-01-27

·

Atualizado

2026-05-27

·

CVE-2026-24881

CVSS v3.1

9.8

Crítica

VetorAV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas Versões do GnuPG anteriores à 2.5.17
Descrição Uma mensagem CMS (S/MIME) EnvelopedData especialmente elaborada com uma chave de sessão encapsulada excessivamente grande pode levar a um estouro de buffer baseado em pilha no gpg-agent durante o processamento de PKDECRYPT--kem=CMS. Isso pode resultar em negação de serviço e, potencialmente, corrupção de memória que leva à execução remota de código.
Recomendações Atualize o GnuPG para a versão 2.5.17 ou posterior.

Exploit

Correção

Stack Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
dbugs@ptsecurity.com

Enumeração de Fraquezas

CWE-121

Identificadores relacionados

CVE-2026-24881
JLSEC-2026-564
OPENSUSE-SU-2026:10112-1

Produtos afetados

Gnupg