关键漏洞信息: 漏洞名称: Out-of-Bounds Read in KMC AEAD Encrypt Metadata Parsing via Flawed strtok Pattern 漏洞类别: GHSA-8w3h-qjm-3chq 发现者: SecMate (https://secmate.dev) 受影响版本: <= v1.4.2 修复版本: v1.4.3 漏洞严重性: High (CVSS: 8.2/10) CVE ID: CVE-2026-22023 弱点类型: CWE-125 漏洞描述: 在 函数中存在一个越界堆读取漏洞 ,由于 的迭代模式有缺陷,该漏洞与 漏洞具有相同的根源。这导致在 函数中引入相同的问题。 漏洞细节: 在 中的 函数中含有相同的 模式,具体在第1336行: PoC 信息: 包含两种运行 PoC 的方式:Docker 和直接编译运行。 Docker 构建命令示例: 本地编译示例命令: 影响: 当使用 KMC 后端进行 AEAD 加密时,由于崩溃导致服务中断,恶意或被攻陷的 KMC 服务器可以通过返回伪造的 JSON 响应触发该漏洞。 ```markdown