Katalog CVE

CVE-2026-12681

WysokieCVSS 8.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.19%

Percentyl 9 — wyżej niż 9% wszystkich znanych CVE

Streszczenie

W podatności w Google go-attestation, funkcja parseEfiSignatureList() nieprawidłowo waliduje indeksy, co pozwala na dodanie kontrolowanych przez atakującego bajtów nagłówka dostawcy do zaufanej listy hashy SHA256. Może to prowadzić do akceptacji skompromitowanego stanu rozruchu przez weryfikator zdalnej attestation.

Ocena ryzyka

Organizacja może być narażona na akceptację złośliwych stanów rozruchu, co może prowadzić do poważnych naruszeń bezpieczeństwa systemu.

Rekomendacja

Zaleca się aktualizację go-attestation do wersji 0.6.1 lub nowszej, aby usunąć tę podatność.

Oryginalny opis (angielski, źródło NVD)

Improper Validation of Specified Index, Position, or Offset in Input vulnerability in Google go-attestation. parseEfiSignatureList() does not advance the buffer past vendor bytes before reading entries. For hashSHA256SigGUID lists, this allows attacker-controlled vendor header bytes to be appended to the trusted SHA256 hash list. A crafted TPM event log could inject arbitrary SHA256 hashes into the verifier's trusted measurement database, enabling a remote attestation verifier to accept a compromised boot state. This issue affects go-attestation: through 0.6.0.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS