CVE-2026-32600: Sicherheitslücke in XML-Verschlüsselung erlaubt Datenzugriff
⚠️ CVE-Referenzen:
CVE-2026-32600
Zusammenfassung
Eine Sicherheitslücke im XML-Sicherheitsmodul "xml-security" ermöglicht es Angreifern, verschlüsselte Daten zu entschlüsseln. Betroffen sind die Versionen vor 2.3.1 und 1.13.9, bei denen die Authentifizierungsmarkierung nicht korrekt überprüft wird. Dadurch können Angreifer den GHASH-Schlüssel ermitteln und beliebige verschlüsselte Inhalte entschlüsseln. Der Hersteller hat das Problem in den neueren Versionen behoben.
xml-security is a library that implements XML signatures and encryption. Prior to versions 2.3.1 and 1.13.9, XML nodes encrypted with either aes-128-gcm, aes-192-gcm, or aes-256-gcm lack validation of the authentication tag length. An attacker can use this to brute-force an authentication tag, recover the GHASH key, and decrypt the encrypted nodes. It also allows to forge arbitrary ciphertexts without knowing the encryption key. This vulnerability is fixed in 2.3.1 and 1.13.9.
Quelle: app.opencve.io