CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-39831

CriticalCVSS 9.1
Published: Updated: Translated: NVD NIST

Summary

Metoda Verify() dla typów kluczy bezpieczeństwa FIDO/U2F nie sprawdzała flagi obecności użytkownika. Podpisy generowane bez fizycznego dotyku były akceptowane, co umożliwiało nieautoryzowane użycie klucza bezpieczeństwa.

Risk Assessment

Brak weryfikacji obecności użytkownika stwarza ryzyko nieautoryzowanego dostępu do systemów, co może prowadzić do poważnych naruszeń bezpieczeństwa.

Recommendation

Zaleca się przywrócenie wcześniejszego zachowania poprzez zwrócenie rozszerzenia 'no-touch-required' w Permissions.Extensions z PublicKeyCallback.

Original NVD description (English source)

The Verify() method for FIDO/U2F security key types ([email protected], [email protected]) did not check the User Presence flag. Signatures generated without physical touch were accepted, allowing unattended use of a hardware security key. To restore the previous behavior, return a "no-touch-required" extension in Permissions.Extensions from PublicKeyCallback.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS