Katalog CVE

CVE-2024-45618

NiskieCVSS 3.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 20 — wyżej niż 20% wszystkich znanych CVE

Streszczenie

W bibliotece OpenSC w narzędziu pkcs15-init wykryto podatność polegającą na braku lub niewystarczającym sprawdzaniu wartości zwracanych przez funkcje. Atakujący może wykorzystać spreparowane urządzenie USB lub kartę inteligentną, które zwracają specjalnie przygotowane odpowiedzi na APDU, prowadząc do użycia niezainicjalizowanych zmiennych.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego wykonania kodu lub naruszenia integralności systemu przez atakującego, który fizycznie podłączy złośliwe urządzenie. Może to prowadzić do nieprzewidywalnego zachowania aplikacji korzystających z OpenSC.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę OpenSC do najnowszej wersji, która zawiera poprawki sprawdzania wartości zwracanych. Dodatkowo zaleca się ograniczenie fizycznego dostępu do portów USB oraz stosowanie tylko zaufanych kart inteligentnych.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was found in pkcs15-init in OpenSC. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. Insufficient or missing checking of return values of functions leads to unexpected work with variables that have not been initialized.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS