Katalog CVE

CVE-2024-45620

NiskieCVSS 3.9
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.29%

Percentyl 21 — wyżej niż 21% wszystkich znanych CVE

Streszczenie

W narzędziu pkcs15-init w bibliotece OpenSC wykryto podatność, która pozwala atakującemu na wykorzystanie spreparowanego urządzenia USB lub karty inteligentnej. Specjalnie przygotowana odpowiedź na APDU może prowadzić do nieprawidłowego dostępu do zainicjalizowanych części bufora, gdy bufory są częściowo wypełnione danymi.

Ocena ryzyka

Ryzyko polega na możliwości zdalnego lub fizycznego ataku na system, który używa OpenSC do obsługi kart inteligentnych, co może skutkować naruszeniem integralności danych lub eskalacją uprawnień.

Rekomendacja

Zaleca się natychmiastową aktualizację biblioteki OpenSC do najnowszej wersji, która zawiera poprawkę dla CVE-2024-45620. Należy również ograniczyć użycie niezaufanych urządzeń USB i kart inteligentnych.

Oryginalny opis (angielski, źródło NVD)

A vulnerability was found in the pkcs15-init tool in OpenSC. An attacker could use a crafted USB Device or Smart Card, which would present the system with a specially crafted response to APDUs. When buffers are partially filled with data, initialized parts of the buffer can be incorrectly accessed.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS