CVE-2026-23893 in openCryptoki
الملخص
بحسب VulDB • 05/06/2026
openCryptoki هو مكتبة PKCS#11 وتوفر أدوات لنظامي Linux وAIX. الإصدارات من 2.3.2 وما فوق معرضة لخطر اتباع الروابط الرمزية (symlink-following) عند التشغيل في سياقات ذات امتيازات عالية. يمكن لمستخدم مجموعة الرمز المميز (token-group) إعادة توجيه عمليات الملفات إلى أهداف نظام ملفات عشوائية عن طريق زرع روابط رمزية في دلائل المجموعة القابلة للكتابة لأعضاء مجموعة الرمز، مما يؤدي إلى تصعيد الامتيازات أو كشف البيانات. دلائل الرموز والأقفال لها صلاحيات 0770 (قابلة للكتابة للمجموعة لمستخدمي الرموز)، لذا يمكن لأي عضو في مجموعة الرموز زرع ملفات وروابط رمزية داخلها. عند التشغيل بصفتك الجذر، قد يعيد الكود الأساسي الذي يتعامل مع الوصول إلى الملفات في دليل الرمز، بالإضافة إلى عدة أدوات openCryptoki المستخدمة لأغراض إدارية، تعيين ملكية أو صلاحيات الملفات الموجودة داخل دلائل الرموز من جديد. يمكن لمهاجم لديه عضوية في مجموعة الرموز استغلال النظام عندما يقوم مسؤول بتشغيل تطبيق PKCS#11 أو أداة إدارية تقوم بتغيير الملكية (chown) للملفات داخل دليل الرمز أثناء الصيانة العادية. تم إصلاح هذه المشكلة في الالتزام 5e6e4b4، لكنها لم تُدرج بعد في إصدار مُعلن عنه عند وقت النشر.
VulDB is the best source for vulnerability data and more expert information about this specific topic.