CVE-2026-12681
WysokieCVSS 8.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 9 — wyżej niż 9% wszystkich znanych CVE
Streszczenie
W podatności w Google go-attestation, funkcja parseEfiSignatureList() nieprawidłowo waliduje indeksy, co pozwala na dodanie kontrolowanych przez atakującego bajtów nagłówka dostawcy do zaufanej listy hashy SHA256. Może to prowadzić do akceptacji skompromitowanego stanu rozruchu przez weryfikator zdalnej attestation.
Ocena ryzyka
Organizacja może być narażona na akceptację złośliwych stanów rozruchu, co może prowadzić do poważnych naruszeń bezpieczeństwa systemu.
Rekomendacja
Zaleca się aktualizację go-attestation do wersji 0.6.1 lub nowszej, aby usunąć tę podatność.
Oryginalny opis (angielski, źródło NVD)
Improper Validation of Specified Index, Position, or Offset in Input vulnerability in Google go-attestation. parseEfiSignatureList() does not advance the buffer past vendor bytes before reading entries. For hashSHA256SigGUID lists, this allows attacker-controlled vendor header bytes to be appended to the trusted SHA256 hash list. A crafted TPM event log could inject arbitrary SHA256 hashes into the verifier's trusted measurement database, enabling a remote attestation verifier to accept a compromised boot state. This issue affects go-attestation: through 0.6.0.

