Zpětná vazba k reportu

Neautentizovanému lokálnímu útočníkovi je za určitých podmínek zasláním speciálně vytvořeného šifrovaného textu umožněno vykonat útok DoS nebo poškodit data v paměti a potenciálně spustit kód s oprávněním procesu tpm2daemon. Zranitelné jsou systémy využívající pro uložení privátních klíčů Trusted Platform Module (TPM), přičemž jsou postiženy obě kryptografické cesty - RSA i ECC [1][4]. Detailní informace ke zranitelnosti naleznete na [1][5].

Zranitelnost se nachází v produktu GnuPG ve verzích <2.5.17.

CVSS: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2026-24882 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-121: Stack-based Buffer Overflow at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 1. 2026.

Neautentizovanému vzdálenému útočníkovi je za určitých podmínek zasláním speciálně vytvořené zašifrované zprávy typu CMS (S/MIME) EnvelopedData umožněno způsobit pád procesu gpg-agent nebo poškodit data v paměti a potenciálně spustit kód [2][6]. Detailní informace ke zranitelnosti naleznete na [2].

Zranitelnost se nachází v produktu GnuPG ve verzích >=2.5.13 AND <2.5.17.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Více informací:

• CVE-2026-24881 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-121: Stack-based Buffer Overflow at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 1. 2026.

Neautentizovanému vzdálenému útočníkovi je zasláním speciálně vytvořeného paketu s digitálním podpisem umožněno způsobit pád procesu [3][7].

Zranitelnost se nachází v produktu GnuPG ve verzích <2.5.17.

CVSS: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:L

Více informací:

• CVE-2026-24883 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-476: NULL Pointer Dereference at cwe.mitre.org

Zranitelnost byla veřejně oznámena 27. 1. 2026.