CVE-2024-45616
NiskieCVSS 3.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 27 — wyżej niż 27% wszystkich znanych CVE
Streszczenie
W OpenSC, narzędziach OpenSC, module PKCS#11, minidriver i CTK wykryto podatność polegającą na niewystarczającej kontroli bufora odpowiedzi APDU i jego długości podczas komunikacji z kartą. Atakujący może wykorzystać spreparowane urządzenie USB lub kartę inteligentną, które dostarczą specjalnie spreparowaną odpowiedź na APDU.
Ocena ryzyka
Ryzyko dla organizacji polega na możliwości zdalnego wykonania kodu lub naruszenia integralności systemu przez atakującego, który fizycznie podłączy złośliwe urządzenie USB lub kartę inteligentną. Może to prowadzić do przejęcia kontroli nad systemem lub wycieku wrażliwych danych.
Rekomendacja
Zaleca się natychmiastową aktualizację OpenSC do najnowszej wersji, która zawiera poprawki zabezpieczające. Należy również ograniczyć fizyczny dostęp do systemów oraz stosować tylko zaufane urządzenia USB i karty inteligentne.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in OpenSC, OpenSC tools, PKCS#11 module, minidriver, and CTK. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. The following problems were caused by insufficient control of the response APDU buffer and its length when communicating with the card.

