CVE-2024-45618
NiskieCVSS 3.9Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 20 — wyżej niż 20% wszystkich znanych CVE
Streszczenie
W bibliotece OpenSC w narzędziu pkcs15-init wykryto podatność polegającą na braku lub niewystarczającym sprawdzaniu wartości zwracanych przez funkcje. Atakujący może wykorzystać spreparowane urządzenie USB lub kartę inteligentną, które zwracają specjalnie przygotowane odpowiedzi na APDU, prowadząc do użycia niezainicjalizowanych zmiennych.
Ocena ryzyka
Ryzyko polega na możliwości zdalnego wykonania kodu lub naruszenia integralności systemu przez atakującego, który fizycznie podłączy złośliwe urządzenie. Może to prowadzić do nieprzewidywalnego zachowania aplikacji korzystających z OpenSC.
Rekomendacja
Należy niezwłocznie zaktualizować bibliotekę OpenSC do najnowszej wersji, która zawiera poprawki sprawdzania wartości zwracanych. Dodatkowo zaleca się ograniczenie fizycznego dostępu do portów USB oraz stosowanie tylko zaufanych kart inteligentnych.
Oryginalny opis (angielski, źródło NVD)
A vulnerability was found in pkcs15-init in OpenSC. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. Insufficient or missing checking of return values of functions leads to unexpected work with variables that have not been initialized.

