CVE-2026-39831
CriticalCVSS 9.1Summary
Metoda Verify() dla typów kluczy bezpieczeństwa FIDO/U2F nie sprawdzała flagi obecności użytkownika. Podpisy generowane bez fizycznego dotyku były akceptowane, co umożliwiało nieautoryzowane użycie klucza bezpieczeństwa.
Risk Assessment
Brak weryfikacji obecności użytkownika stwarza ryzyko nieautoryzowanego dostępu do systemów, co może prowadzić do poważnych naruszeń bezpieczeństwa.
Recommendation
Zaleca się przywrócenie wcześniejszego zachowania poprzez zwrócenie rozszerzenia 'no-touch-required' w Permissions.Extensions z PublicKeyCallback.
Original NVD description (English source)
The Verify() method for FIDO/U2F security key types ([email protected], [email protected]) did not check the User Presence flag. Signatures generated without physical touch were accepted, allowing unattended use of a hardware security key. To restore the previous behavior, return a "no-touch-required" extension in Permissions.Extensions from PublicKeyCallback.

