CVE-2026-45446

Published: Giu 09, 2026 Last Modified: Giu 10, 2026

ExploitDB:

Other exploit source:

Google Dorks:

MEDIUM 4,8

Source: 134c704f-9b21-4f2e-91b3-4a467353bcc0

Attack Vector: network

Attack Complexity: high

Privileges Required: none

User Interaction: none

Scope: unchanged

Confidentiality: low

Integrity: low

Availability: none

Description

AI Translation Available

Issue summary: The implementations of AES-SIV (RFC 5297) and AES-GCM-SIV
(RFC 8452) mishandle the authentication of AAD (Additional Authenticated
Data) with an empty ciphertext allowing a forgery of such messages.

Impact summary: An attacker can forge empty messages with arbitrary AAD
to the victim's application using these ciphers.

AES-SIV (RFC 5297) and AES-GCM-SIV (RFC 8452) are nonce-misuse-resistant AEAD
modes: they accept a key, nonce, optional AAD (bytes that are authenticated
but not encrypted), and plaintext, and produces ciphertext plus a 16-byte
tag. On decrypt, `EVP_DecryptFinal_ex()` is documented to return success only
if the tag is verified succesfully.

In OpenSSL's provider implementation of these ciphers, the expected tag is
computed only when decryption function is invoked with non-empty data.
If the caller supplies AAD and then calls `EVP_DecryptFinal_ex()` without
invocation of the ciphertext update, which can happen when the received
ciphertext length is zero, the tag is never recalculated and still holds its
all-zeros value.

When AES-GCM-SIV is used, an attacker who sends arbitrary AAD, empty
ciphertext, and all-zeros tag passes authentication under any key they do not
know, single-shot. When AES-SIV is used, for mounting the attack it's
necessary for the application to reuse the decryption context without
resetting the key.

AES-SIV is implemented since OpenSSL 3.0. AES-GCM-SIV is implemented since
OpenSSL 3.2.

No protocols implemented in OpenSSL itself (TLS/CMS/PKCS7/HPKE/QUIC) support
either AES-GCM-SIV or AES-SIV. To mount an attack, the applications must
implement their own protocol and use the EVP interface. Also they must skip the
ciphertext update when a message with an empty ciphertext arrives.

The FIPS modules in 4.0, 3.6, 3.5, 3.4, and 3.0 are not affected by this
issue, as these algorithms are not FIPS approved and the affected code is
outside the OpenSSL FIPS module boundary.

AI Generated Translation

Sintesi del problema: Le implementazioni di AES-SIV (RFC 5297) e AES-GCM-SIV (RFC 8452) gestiscono in modo errato l'autenticazione dell'AAD (Additional Authenticated Data) con un ciphertext vuoto, consentendo la falsificazione di tali messaggi.

Sintesi dell'impatto: Un attaccante può falsificare messaggi vuoti con AAD arbitrario verso l'applicazione vittima utilizzando questi cifrari.

AES-SIV (RFC 5297) e AES-GCM-SIV (RFC 8452) sono modalità AEAD resistenti all'uso improprio del nonce: accettano una chiave, un nonce, AAD opzionale (byte che vengono autenticati ma non cifrati) e il plaintext, producendo ciphertext più un tag di 16 byte. Durante la decrittografia, `EVP_DecryptFinal_ex()` è documentato per restituire successo solo se il tag viene verificato correttamente.

Nell'implementazione del provider OpenSSL di questi cifrari, il tag atteso viene calcolato solo quando la funzione di decrittografia viene invocata con dati non vuoti. Se il chiamante fornisce AAD e poi chiama `EVP_DecryptFinal_ex()` senza aver aggiornato il ciphertext (ad esempio, quando la lunghezza del ciphertext ricevuto è zero), il tag non viene mai ricalcolato e mantiene il suo valore di tutti zero.

Quando si utilizza AES-GCM-SIV, un attaccante che invia AAD arbitrario, ciphertext vuoto e un tag di tutti zero supera l'autenticazione con qualsiasi chiave sconosciuta, in un singolo tentativo. Quando si utilizza AES-SIV, per portare avanti l'attacco è necessario che l'applicazione riutilizzi il contesto di decrittografia senza resettare la chiave.

AES-SIV è implementato a partire da OpenSSL 3.0. AES-GCM-SIV è implementato a partire da OpenSSL 3.2.

Nessun protocollo implementato direttamente in OpenSSL (TLS/CMS/PKCS7/HPKE/QUIC) supporta AES-GCM-SIV o AES-SIV. Per eseguire un attacco, le applicazioni devono implementare il proprio protocollo e utilizzare l'interfaccia EVP. Inoltre, devono ignorare l'aggiornamento del ciphertext quando arriva un messaggio con ciphertext vuoto.

I moduli FIPS nelle versioni 4.0, 3.6, 3.5, 3.4 e 3.0 non sono interessati da questo problema, poiché questi algoritmi non sono approvati FIPS e il codice interessato si trova al di fuori del confine del modulo FIPS di OpenSSL.

EPSS (Exploit Prediction Scoring System)

Trend Analysis

EPSS (Exploit Prediction Scoring System)

Prevede la probabilità di sfruttamento basata su intelligence sulle minacce e sulle caratteristiche della vulnerabilità.

EPSS Score

0,0001

Percentile

0,0th

Updated

EPSS Score Trend (Last 5 Days)

325

Missing Cryptographic Step

Draft

Abstraction: Base Structure: Simple

Common Consequences

Security Scopes Affected:

Access Control Confidentiality Integrity Accountability Non-Repudiation

Potential Impacts:

Bypass Protection Mechanism Read Application Data Modify Application Data Hide Activities

Applicable Platforms

All platforms may be affected

View CWE Details

https://github.com/openssl/openssl/commit/25b32cd9d41d2bc01…

https://github.com/openssl/openssl/commit/25b32cd9d41d2bc01b6abc425bb4baf2c2236…

https://github.com/openssl/openssl/commit/71e2a5d263518cf58…

https://github.com/openssl/openssl/commit/71e2a5d263518cf5866043bd60ee4994d59e5…

https://github.com/openssl/openssl/commit/7fe3f33a3b3a4c487…

https://github.com/openssl/openssl/commit/7fe3f33a3b3a4c487aa4dcdbc87057f66ffd2…

https://github.com/openssl/openssl/commit/daca0f48e4a69a289…

https://github.com/openssl/openssl/commit/daca0f48e4a69a2892a62262bad59e62a8a76…

https://github.com/openssl/openssl/commit/eec5e9bf0d867333b…

https://github.com/openssl/openssl/commit/eec5e9bf0d867333b8495e456f5235d225798…

https://openssl-library.org/news/secadv/20260609.txt

CVE-2026-45446

Description

EPSS (Exploit Prediction Scoring System)

EPSS (Exploit Prediction Scoring System)

EPSS Score Trend (Last 5 Days)

Missing Cryptographic Step

Common Consequences

Applicable Platforms

Iscriviti alla newsletter