CVE-2026-23893 in openCryptokiinfo

Zusammenfassung

von VulDB • 28.05.2026

openCryptoki ist eine PKCS#11-Bibliothek und stellt Tools für Linux und AIX bereit. Die Versionen 2.3.2 und höher sind anfällig für Symlink-Following, wenn sie in privilegierten Kontexten ausgeführt werden. Ein Benutzer einer Token-Gruppe kann Dateioperationen auf beliebige Dateisystemziele umleiten, indem er Symlinks in gruppenbeschreibbaren Token-Verzeichnissen platziert, was zu einer Privilegieneskalation oder Datenoffenlegung führen kann. Token- und Lock-Verzeichnisse haben die Berechtigungen 0770 (gruppenbeschreibbar für Token-Benutzer), sodass jedes Mitglied der Token-Gruppe Dateien und Symlinks darin platzieren kann. Wenn die Basiscode-Komponente, die den Dateizugriff auf Token-Verzeichnisse verarbeitet, sowie mehrere von openCryptoki bereitgestellte Tools für administrative Zwecke als Root ausgeführt werden, kann es dazu kommen, dass der Eigentümer oder die Berechtigungen vorhandener Dateien innerhalb der Token-Verzeichnisse zurückgesetzt werden. Ein Angreifer mit Mitgliedschaft in der Token-Gruppe kann das System ausnutzen, wenn ein Administrator eine PKCS#11-Anwendung oder ein administratives Tool ausführt, das während der normalen Wartung chown für Dateien im Token-Verzeichnis durchführt. Dieses Problem wurde in Commit 5e6e4b4 behoben, war jedoch zum Zeitpunkt der Veröffentlichung noch nicht in einer veröffentlichten Version enthalten.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Zuständig

GitHub M

Reservieren

16.01.2026

Veröffentlichung

22.01.2026

Moderieren

akzeptiert

Eintrag

VDB-342267

CPE

bereit

EPSS

0.00162

KEV

nein

Aktivitäten

very low

Quellen

Want to stay up to date on a daily basis?

Enable the mail alert feature now!