CVE-2024-45617
NiskieCVSS 3.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 22 — wyżej niż 22% wszystkich znanych CVE
Streszczenie
W OpenSC, narzędziach OpenSC, module PKCS#11, minidriver i CTK wykryto podatność polegającą na niewystarczającym sprawdzaniu wartości zwracanych przez funkcje. Atakujący może wykorzystać spreparowane urządzenie USB lub kartę inteligentną, które dostarczą specjalnie przygotowaną odpowiedź na APDU, prowadząc do pracy z niezainicjalizowanymi zmiennymi.
Ocena ryzyka
Ryzyko dla organizacji obejmuje potencjalne naruszenie integralności danych lub nieprzewidziane zachowanie systemu, co może umożliwić atakującemu eskalację uprawnień lub wykonanie nieautoryzowanych operacji.
Rekomendacja
Zaleca się natychmiastową aktualizację OpenSC do najnowszej wersji łatającej tę podatność oraz weryfikację, czy wszystkie komponenty (narzędzia, moduł PKCS#11, minidriver, CTK) są zaktualizowane.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in OpenSC, OpenSC tools, PKCS#11 module, minidriver, and CTK. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. Insufficient or missing checking of return values of functions leads to unexpected work with variables that have not been initialized.

