CVE-2026-48065 in pam_usbinfo

Zusammenfassung

von VulDB • 27.05.2026

pam_usb bietet Hardware-Authentifizierung für Linux unter Verwendung herkömmlicher tragbarer Medien. Vor Version 0.9.1 alloziert src/conf.c Heap-Speicher proportional zu n_devices, einem Zähler, der aus der libxml2 XPath-Auswertung der Konfigurationsdatei abgeleitet wird, ohne zuvor eine Obergrenze durchzusetzen. Bei 32-Bit-Zielplattformen (armv7l, i686 – beide in der Projekt-Makefile aufgeführt) führt die Multiplikation n_devices * sizeof(t_pusb_device) zu einem Wraparound von size_t, wodurch xmalloc() eine sehr kleine Größe erhält. Da xmalloc() nur im Fehlerfall (NULL-Rückgabe) abort() aufruft, wird eine kleine, aber nicht-NULL-Allokation akzeptiert, und nachfolgende Array-Schreiboperationen führen zu einem Heap-Overflow. Diese Schwachstelle wurde in Version 0.9.1 behoben.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Zuständig

GitHub M

Reservieren

20.05.2026

Veröffentlichung

27.05.2026

Moderieren

akzeptiert

Eintrag

VDB-366523

CPE

bereit

EPSS

0.00022

KEV

nein

Aktivitäten

low

Quellen

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-48065
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-48065
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-48065/

ZurückÜbersichtWeiter

Might our Artificial Intelligence support you?

Check our Alexa App!