CVE Catalog
EnglishPolski(English translation not available — showing Polish)

CVE-2026-40528

LowCVSS 3.8
Published: Updated: Translated: NVD NIST

Summary

OpenSC przed wersją 0.27.0 zawiera podatność na przepełnienie bufora stosu i sterty w funkcji do_key_value() w pliku src/pkcs15init/profile.c. Atakujący mogą uszkodzić pamięć, dostarczając spreparowany plik konfiguracyjny profilu.

Risk Assessment

Podatność ta może prowadzić do poważnych problemów z integralnością pamięci, co może umożliwić atakującym wykonanie złośliwego kodu lub destabilizację systemu. Organizacje powinny być świadome ryzyka związanego z używaniem nieaktualnych wersji OpenSC.

Recommendation

Zaleca się aktualizację OpenSC do wersji 0.27.0 lub nowszej, aby usunąć tę podatność. Dodatkowo, należy przeprowadzić audyt konfiguracji profili, aby zminimalizować ryzyko wykorzystania tej luki.

Original NVD description (English source)

OpenSC before 0.27.0, fixed in commit 0358817, contains a stack and heap buffer overrun vulnerability in the do_key_value() function in src/pkcs15init/profile.c that allows attackers to corrupt memory by supplying a crafted profile configuration file. During pkcs15-init invocation, a key value entry beginning with '=' followed by more than sizeof(keybuf) characters is copied into keybuf via memcpy without a length check, causing both stack and heap buffer overruns.

Vulnerability data from NVD (NIST) · CISA KEV · EPSS