anonhaven

CVE-2025-66442

MEDIUM CVSS 3.1: 5,1 EPSS 0.02%
Обновлено 3 апреля 2026
Arm
Параметр Значение
CVSS 5,1 (MEDIUM)
Уязвимые версии до 4.0.0
Тип уязвимости CWE-385
Поставщик Arm
Публичный эксплойт Нет

В Mbed TLS до 4.0.0 существует побочный канал синхронизации, индуцируемый компилятором (при дешифровании RSA и CBC/ECB), который возникает только при использовании функции выбора-оптимизации LLVM. Также затронуты версии TF-PSA-Crypto до 1.0.0.

Показать оригинальное описание (EN)

In Mbed TLS through 4.0.0, there is a compiler-induced timing side channel (in RSA and CBC/ECB decryption) that only occurs with LLVM's select-optimize feature. TF-PSA-Crypto through 1.0.0 is also affected.

Характеристики атаки

Способ атаки
Локальный
Нужен локальный доступ
Сложность
Высокая
Сложно эксплуатировать
Нужны права
Не требуются
Права не нужны
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Высокое
Полная утечка данных
Целостность
Нет
Нет модификации данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v3.1

Тип уязвимости (CWE)

CWE-385

Уязвимые продукты 2

Конфигурация От (включительно) До (исключительно)
Arm Mbed_Tls
cpe:2.3:a:arm:mbed_tls:*:*:*:*:*:*:*:*
 <= 4.0.0
Arm Tf-Psa-Crypto
cpe:2.3:a:arm:tf-psa-crypto:*:*:*:*:*:*:*:*
 <= 1.0.0

Ссылки 4

https://github.com/Mbed-TLS/TF-PSA-Crypto/releases
cve@mitre.org
https://github.com/Mbed-TLS/mbedtls/releases
cve@mitre.org
https://mbed-tls.readthedocs.io/en/latest/security-advisories/
cve@mitre.org
https://mbed-tls.readthedocs.io/en/latest/security-advisories/mbedtls-security-…
cve@mitre.org
Share Post Share Share Share

Связанные уязвимости

CVE-2026-34877

Arm

9,8

CVE-2026-34876

Arm

7,5

CVE-2026-34873

Arm

9,1

CVE-2026-34872

Arm

9,1

CVE-2026-34874

Arm

7,5