CVE-2026-23893 in openCryptokiالمعلومات

الملخص

بحسب VulDB • 05/06/2026

openCryptoki هو مكتبة PKCS#11 وتوفر أدوات لنظامي Linux وAIX. الإصدارات من 2.3.2 وما فوق معرضة لخطر اتباع الروابط الرمزية (symlink-following) عند التشغيل في سياقات ذات امتيازات عالية. يمكن لمستخدم مجموعة الرمز المميز (token-group) إعادة توجيه عمليات الملفات إلى أهداف نظام ملفات عشوائية عن طريق زرع روابط رمزية في دلائل المجموعة القابلة للكتابة لأعضاء مجموعة الرمز، مما يؤدي إلى تصعيد الامتيازات أو كشف البيانات. دلائل الرموز والأقفال لها صلاحيات 0770 (قابلة للكتابة للمجموعة لمستخدمي الرموز)، لذا يمكن لأي عضو في مجموعة الرموز زرع ملفات وروابط رمزية داخلها. عند التشغيل بصفتك الجذر، قد يعيد الكود الأساسي الذي يتعامل مع الوصول إلى الملفات في دليل الرمز، بالإضافة إلى عدة أدوات openCryptoki المستخدمة لأغراض إدارية، تعيين ملكية أو صلاحيات الملفات الموجودة داخل دلائل الرموز من جديد. يمكن لمهاجم لديه عضوية في مجموعة الرموز استغلال النظام عندما يقوم مسؤول بتشغيل تطبيق PKCS#11 أو أداة إدارية تقوم بتغيير الملكية (chown) للملفات داخل دليل الرمز أثناء الصيانة العادية. تم إصلاح هذه المشكلة في الالتزام 5e6e4b4، لكنها لم تُدرج بعد في إصدار مُعلن عنه عند وقت النشر.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

مسؤول

GitHub M

حجز

16/01/2026

إفشاء

22/01/2026

الاعتدال

تمت الموافقة

إدخال

VDB-342267

EPSS

0.00162

KEV

لا

النشاطات

منخفض جدًا

المصادر

Want to know what is going to be exploited?

We predict KEV entries!