Katalog CVE

CVE-2026-39831

KrytyczneCVSS 9.1
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Streszczenie

Metoda Verify() dla typów kluczy bezpieczeństwa FIDO/U2F nie sprawdzała flagi obecności użytkownika. Podpisy generowane bez fizycznego dotyku były akceptowane, co umożliwiało nieautoryzowane użycie klucza bezpieczeństwa.

Ocena ryzyka

Brak weryfikacji obecności użytkownika stwarza ryzyko nieautoryzowanego dostępu do systemów, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Rekomendacja

Zaleca się przywrócenie wcześniejszego zachowania poprzez zwrócenie rozszerzenia 'no-touch-required' w Permissions.Extensions z PublicKeyCallback.

Oryginalny opis (angielski, źródło NVD)

The Verify() method for FIDO/U2F security key types ([email protected], [email protected]) did not check the User Presence flag. Signatures generated without physical touch were accepted, allowing unattended use of a hardware security key. To restore the previous behavior, return a "no-touch-required" extension in Permissions.Extensions from PublicKeyCallback.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS