<?xml version="1.0" encoding="utf-8" standalone="yes"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:content="http://purl.org/rss/1.0/modules/content/">
  <channel>
    <title>vulnerability on SecDoc</title>
    <link>https://secdoc.jazor.net/tags/vulnerability/</link>
    <description>Recent content in vulnerability on SecDoc</description>
    <generator>Hugo -- gohugo.io</generator>
    <language>zh-cn</language>
    <copyright>© 2026 黑豆子</copyright>
    <lastBuildDate>Tue, 16 Jun 2026 00:07:06 +0800</lastBuildDate><atom:link href="https://secdoc.jazor.net/tags/vulnerability/index.xml" rel="self" type="application/rss+xml" />
    <item>
      <title>OpenSSL CMS AuthEnvelopedData 栈缓冲区溢出漏洞分析（CVE-2025-15467）</title>
      <link>https://secdoc.jazor.net/posts/openssl-cms-aead-buffer-overflow-cve-2025-15467/</link>
      <pubDate>Tue, 16 Jun 2026 00:07:06 +0800</pubDate>
      
      <guid>https://secdoc.jazor.net/posts/openssl-cms-aead-buffer-overflow-cve-2025-15467/</guid>
      <description>漏洞概述 2026 年 1 月 27 日，OpenSSL 官方发布了安全公告，披露了一个高危漏洞 CVE-2025-15467。该漏洞位于 OpenSSL 的 CMS（Cryptographic Message Syntax）实现中，当处理使用 AEAD（Authenticated Encryption with Associated Data）密码的 AuthEnvelopedData 结构时，存在栈缓冲区溢出问题。
漏洞严重性评级为 High，可导致拒绝服务（DoS），在特定条件下甚至可能实现远程代码执行（RCE）。
影响版本 受影响的 OpenSSL 版本：
OpenSSL 3.6.x OpenSSL 3.5.x OpenSSL 3.4.x OpenSSL 3.3.x OpenSSL 3.0.x 不受影响的版本：
OpenSSL 1.1.1 OpenSSL 1.0.2 修复版本：
OpenSSL 3.6.1 OpenSSL 3.5.5 OpenSSL 3.4.4 OpenSSL 3.3.6 OpenSSL 3.0.19 技术分析 CMS 简介 CMS（Cryptographic Message Syntax，RFC 5652）是一种用于签名、加密消息的通用语法标准，广泛应用于：
S/MIME：安全电子邮件 PKCS#7：加密消息语法 代码签名 证书管理（如 CRL、证书请求） CMS 支持多种加密数据格式，包括：
EnvelopedData：加密数据 SignedData：签名数据 AuthEnvelopedData：带认证的加密数据（AEAD） AEAD 密码与 AES-GCM AEAD（Authenticated Encryption with Associated Data）是一种同时提供机密性和完整性的加密模式。常见的 AEAD 密码包括：</description>
    </item>
    
  </channel>
</rss>
