关键漏洞信息 漏洞标题 ServerHellos are accepted without checking TLS 1.3 downgrade canaries 严重性 Moderate CVSS v3 基础分数:6.5 / 10 CVSS v3 基础指标: - Attack Vector: Network - Attack Complexity: Low - Privileges Required: None - User Interaction: None - Scope: Unchanged - Confidentiality: Low - Integrity: Low - Availability: None 漏洞描述 受影响的版本: < v1.7.0 修复后的版本: v1.7.0 描述: - 在 v1.7.0 之前的版本中,utls 没有实现 RFC 8446 Section 4.1.3 中指定的 TLS 1.3 降级保护机制。这允许积极的网络对手降级由 utls 客户端发起的 TLS 1.3 连接到较低的 TLS 版本(例如 TLS 1.2),通过修改 ClientHello 消息以排除 SupportedVersions 扩展,导致服务器响应一个带有降级诱饵的 TLS 1.2 ServerHello。由于 utls 没有检查 ServerHello 随机字段中的降级诱饵,客户端在不检测攻击的情况下接受降级连接。这种攻击也可能被积极的网络攻击者用来指纹 utls 连接。 修复提交或拉取请求 #337, 具体提交 f889276 参考文献 #181 其他信息 CVE ID: CVE-2026-26994 弱点: CWE-693