Katalog CVE

CVE-2026-2100

ŚrednieCVSS 5.3
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Podwyższone ryzyko
1.16%

Percentyl 63 - wyżej niż 63% wszystkich znanych CVE

Streszczenie

W bibliotece p11-kit wykryto podatność, która pozwala zdalnemu atakującemu wywołać funkcję C_DeriveKey na zdalnym tokenie z określonymi parametrami IBM kyber lub IBM btc ustawionymi na NULL. Może to prowadzić do próby zwrócenia niezainicjalizowanej wartości przez klienta RPC, co skutkuje wyłuskaniem wskaźnika NULL lub niezdefiniowanym zachowaniem.

Ocena ryzyka

Podatność może spowodować odmowę usługi na poziomie aplikacji lub inne nieprzewidywalne stany systemu, co zagraża stabilności i dostępności usług korzystających z p11-kit.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę p11-kit do najnowszej wersji zawierającej poprawkę. Do czasu aktualizacji zaleca się ograniczenie dostępu do zdalnych tokenów oraz monitorowanie nietypowych zachowań aplikacji.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in p11-kit. A remote attacker could exploit this vulnerability by calling the C_DeriveKey function on a remote token with specific IBM kyber or IBM btc derive mechanism parameters set to NULL. This could lead to the RPC-client attempting to return an uninitialized value, potentially resulting in a NULL dereference or undefined behavior. This issue may cause an application level denial of service or other unpredictable system states.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS