Katalog CVE

CVE-2024-45617

NiskieCVSS 3.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.30%

Percentyl 22 — wyżej niż 22% wszystkich znanych CVE

Streszczenie

W OpenSC, narzędziach OpenSC, module PKCS#11, minidriver i CTK wykryto podatność polegającą na niewystarczającym sprawdzaniu wartości zwracanych przez funkcje. Atakujący może wykorzystać spreparowane urządzenie USB lub kartę inteligentną, które dostarczą specjalnie przygotowaną odpowiedź na APDU, prowadząc do pracy z niezainicjalizowanymi zmiennymi.

Ocena ryzyka

Ryzyko dla organizacji obejmuje potencjalne naruszenie integralności danych lub nieprzewidziane zachowanie systemu, co może umożliwić atakującemu eskalację uprawnień lub wykonanie nieautoryzowanych operacji.

Rekomendacja

Zaleca się natychmiastową aktualizację OpenSC do najnowszej wersji łatającej tę podatność oraz weryfikację, czy wszystkie komponenty (narzędzia, moduł PKCS#11, minidriver, CTK) są zaktualizowane.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was found in OpenSC, OpenSC tools, PKCS#11 module, minidriver, and CTK. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. Insufficient or missing checking of return values of functions leads to unexpected work with variables that have not been initialized.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS