发布日期：2026-02-10
更新日期：2026-04-13

受影响系统：

MUNGE MUNGE >= 0.5 <= 0.5.17

描述：

---

CVE(CAN) ID: CVE-2026-25506

MUNGE是Chris Dunlap个人开发者的一款用于创建和验证凭据的身份验证服务。
MUNGE 0.5版本至0.5.17版本存在缓冲区溢出漏洞，本地攻击者可利用该漏洞发送携带超大地址长度字段的特制报文触发缓冲区溢出，破坏munged守护进程的内部状态，从进程内存中泄露加密密钥材料，并提取用于凭证验证的MAC子密钥，利用泄露的密钥材料，攻击者能够伪造任意MUNGE凭证，进而向依赖MUNGE认证的服务冒充任意用户。

<*链接：https://github.com/dun/munge/security/advisories/GHSA-r9cr-jf4v-75gh
*>

建议：

---

厂商补丁：

MUNGE
-----
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：
https://github.com/dun/munge/security/advisories/GHSA-r9cr-jf4v-75gh

浏览次数：46
严重程度：0（网友投票）