Katalog CVE

CVE-2026-42014

ŚrednieCVSS 6.6
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.15%

Percentyl 5 — wyżej niż 5% wszystkich znanych CVE

Streszczenie

W bibliotece GnuTLS odkryto podatność use-after-free w funkcji `gnutls_pkcs11_token_set_pin`, używanej do zmiany PIN-u Security Officer. Problem występuje, gdy atakujący próbuje zmienić PIN, podając stary PIN jako NULL dla tokena, który nie ma chronionej ścieżki uwierzytelniania.

Ocena ryzyka

Atakujący może wykorzystać tę podatność do wykonania kodu w kontekście procesu używającego GnuTLS, co może prowadzić do naruszenia poufności, integralności lub dostępności systemu.

Rekomendacja

Należy niezwłocznie zaktualizować bibliotekę GnuTLS do wersji, w której załatano tę podatność. Do czasu aktualizacji unikać używania funkcji `gnutls_pkcs11_token_set_pin` z NULL-owym starym PIN-em dla tokenów bez chronionej ścieżki uwierzytelniania.

Oryginalny opis (angielski, źródło NVD)

A flaw was found in GnuTLS. The `gnutls_pkcs11_token_set_pin` function, used for changing the Security Officer PIN, can lead to a use-after-free vulnerability. This occurs when an attacker attempts to change the PIN with a NULL old PIN for a token that lacks a protected authentication path.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS