Kritische Puffer-Überlauf-Lücke in GnuPG - CVE-2026-24881 mit RCE-Potenzial
⚠️ CVE-Referenzen:
CVE-2026-24881
Zusammenfassung
In älteren Versionen von GnuPG (vor 2.5.17) führt eine manipulierte CMS-Nachricht mit überlangem verschlüsseltem Sitzungsschlüssel zu einem Puffer-Überlauf im gpg-agent. Dies ermöglicht nicht nur Denial-of-Service-Attacken, sondern auch potenzielle Remotecodeausführung durch Speicherbeschädigung. Admins sollten dringend auf die neueste GnuPG-Version aktualisieren, um diese kritische Sicherheitslücke zu schließen.
In GnuPG before 2.5.17, a crafted CMS (S/MIME) EnvelopedData message carrying an oversized wrapped session key can cause a stack-based buffer overflow in gpg-agent during PKDECRYPT--kem=CMS handling. This can easily be leveraged for denial of service; however, there is also memory corruption that could lead to remote code execution.
Quelle: app.opencve.io