CVE-2026-23490 — pyasn1 - security update

描述

pyasn1 is a generic ASN.1 library for Python. Prior to 0.6.2, a Denial-of-Service issue has been found that leads to memory exhaustion from malformed RELATIVE-OID with excessive continuation octets. This vulnerability is fixed in 0.6.2.

如何修補 CVE-2026-23490

要修補 CVE-2026-23490,請將受影響套件升級到下列已修補版本。

Debian/pyasn1—升級至 0.4.8-1+deb11u1 或更新版本
—升級至 0.4.8-1+deb11u1 或更新版本
—升級至 0.4.8-3+deb12u1 或更新版本
—升級至 0.6.2 或更新版本

CVE-2026-23490 正在被利用嗎?

低 — EPSS 為 0.0%,目前沒有觀察到大規模利用活動。

受影響套件(4)

from 0, < 0.4.8-1+deb11u1
from 0, < 0.4.8-1+deb11u1
from 0, < 0.4.8-3+deb12u1
>= 0.6.1, < 0.6.2

CVSS 分數

來源	版本	嚴重程度	向量
osv	CVSS 3.1	HIGH7.5	CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

參考連結(9)

ADVISORYnvd.nist.gov/vuln/detail/CVE-2026-23490
ADVISORYsecurity-tracker.debian.org/tracker/CVE-2026-23490
PATCHgithub.com/pyasn1/pyasn1
WEBgithub.com/pyasn1/pyasn1/blob/0f07d7242a78ab4d129b26256d7474f7168cf536/pyasn1/codec/ber/decoder.py#L496