CVE-2026-34873

Critical(9.1)

CVE-2026-34873 — Mbed TLS TLS 1.3セッション再開時のクライアント偽装

公開日: 2026-04-08データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Mbed TLS	Arm	3.5.0 - 4.0.0

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

1Mbed TLSのバージョンを確認する
2最新バージョンへアップデートする
3TLS 1.3セッション再開機能の使用状況を確認する

影響対象

Mbed TLS利用者組み込み/IoTデバイス

補足

-CVE-2026-34877と同時に対応することを推奨

CVEMbed TLSTLS認証バイパス

概要

Mbed TLS のバージョン 3.5.0 から 4.0.0 において、TLS 1.3 セッション再開時にクライアント偽装が可能な脆弱性が存在します。攻撃者は正規のクライアントになりすまして TLS セッションを再開でき、認証の信頼性が損なわれます。

CVSS ベクトル

項目	値
攻撃元区分	ネットワーク
攻撃条件の複雑さ	低
必要な特権レベル	不要
ユーザー関与	不要
CWE	CWE-287（不適切な認証）

影響を受けるソフトウェア

製品	ベンダー	影響バージョン
Mbed TLS	Arm	3.5.0 〜 4.0.0

修正バージョンと回避策

修正バージョン: 公式 Security Advisories を確認してください
TLS 1.3 セッション再開機能を使用している場合は特に注意が必要です

関連リンク

データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2026-34877Mbed TLS SSL コンテキストメモリ破壊CVSS 9.8 CVE-2026-34876Mbed TLS mbedtls_ccm_finish() 範囲外読み取りCVSS 7.5

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-34873

Mbed TLS:https://mbed-tls.readthedocs.io/en/latest/security-advisories/

Xでシェアはてブ

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。