Katalog CVE

CVE-2024-8443

NiskieCVSS 2.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.31%

Percentyl 23 — wyżej niż 23% wszystkich znanych CVE

Streszczenie

W bibliotece libopensc w sterowniku OpenPGP wykryto podatność przepełnienia bufora sterty. Specjalnie spreparowane urządzenie USB lub karta inteligentna z złośliwymi odpowiedziami na APDU podczas procesu rejestracji karty za pomocą narzędzia pkcs15-init może prowadzić do odczytu/zapisu poza dozwolonym obszarem, co potencjalnie umożliwia wykonanie dowolnego kodu.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do zdalnego wykonania kodu w kontekście aplikacji korzystającej z libopensc, co może prowadzić do przejęcia kontroli nad systemem lub kradzieży danych uwierzytelniających.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę OpenSC do wersji, w której załatano tę podatność. Ograniczyć użycie narzędzia pkcs15-init tylko do zaufanych urządzeń i kart.

Oryginalny opis (angielski, źródło NVD)

A heap-based buffer overflow vulnerability was found in the libopensc OpenPGP driver. A crafted USB device or smart card with malicious responses to the APDUs during the card enrollment process using the `pkcs15-init` tool may lead to out-of-bound rights, possibly resulting in arbitrary code execution.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS