Native Instruments Native Access XPC Service hasValidSignature Race Condition
| CVSS Meta Temp Score | Aktueller Exploitpreis (≈) | CTI Interest Score |
|---|---|---|
| 6.6 | $0-$5k | 0.00 |
Zusammenfassung
In Native Instruments Native Access wurde eine kritische Schwachstelle gefunden. Hierbei betrifft es die Funktion hasValidSignature der Komponente XPC Service. Durch Manipulation mit unbekannten Daten kann eine Race Condition-Schwachstelle ausgenutzt werden.
Die Identifikation der Schwachstelle findet als CVE-2026-24071 statt. Es steht kein Exploit zur Verfügung.
Details
Es wurde eine kritische Schwachstelle in Native Instruments Native Access - die betroffene Version ist nicht klar definiert - gefunden. Hiervon betroffen ist die Funktion hasValidSignature der Komponente XPC Service. Durch die Manipulation mit einer unbekannten Eingabe kann eine Race Condition-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-367 vorgenommen. Die Auswirkungen sind bekannt für Vertraulichkeit, Integrität und Verfügbarkeit. Die Zusammenfassung von CVE lautet:
It was found that the XPC service offered by the privileged helper of Native Access uses the PID of the connecting client to verify its code signature. This is considered insecure and can be exploited by PID reuse attacks. The connection handler function uses _xpc_connection_get_pid(arg2) as argument for the hasValidSignature function. This value can not be trusted since it is vulnerable to PID reuse attacks.Die Schwachstelle wurde durch Florian Haselsteiner publiziert. Das Advisory findet sich auf sec-consult.com. Die Identifikation der Schwachstelle wird seit dem 21.01.2026 mit CVE-2026-24071 vorgenommen. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Es sind keine Informationen bezüglich Gegenmassnahmen bekannt. Der Einsatz eines alternativen Produkts bietet sich im Zweifelsfall an.
Unter anderem wird der Fehler auch in der Verwundbarkeitsdatenbank von EUVD (EUVD-2026-5109) dokumentiert. Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Produkt
Hersteller
Name
CPE 2.3
CPE 2.2
CVSSv4
VulDB Vector: 🔒VulDB Zuverlässigkeit: 🔍
CVSSv3
VulDB Meta Base Score: 6.6VulDB Meta Temp Score: 6.6
VulDB Base Score: 5.5
VulDB Temp Score: 5.5
VulDB Vector: 🔒
VulDB Zuverlässigkeit: 🔍
ADP CISA Base Score: 7.8
ADP CISA Vector: 🔒
CVSSv2
| AV | AC | Au | C | I | A |
|---|---|---|---|---|---|
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| 💳 | 💳 | 💳 | 💳 | 💳 | 💳 |
| Vektor | Komplexität | Authentisierung | Vertraulichkeit | Integrität | Verfügbarkeit |
|---|---|---|---|---|---|
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
| freischalten | freischalten | freischalten | freischalten | freischalten | freischalten |
VulDB Base Score: 🔒
VulDB Temp Score: 🔒
VulDB Zuverlässigkeit: 🔍
Exploiting
Klasse: Race ConditionCWE: CWE-367 / CWE-362
CAPEC: 🔒
ATT&CK: 🔒
Physisch: Nein
Lokal: Nein
Remote: Teilweise
Verfügbarkeit: 🔒
Status: Nicht definiert
EPSS Score: 🔒
EPSS Percentile: 🔒
Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔒
| 0-Day | freischalten | freischalten | freischalten | freischalten |
|---|---|---|---|---|
| Heute | freischalten | freischalten | freischalten | freischalten |
Threat Intelligence
Interesse: 🔍Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍
Gegenmassnahmen
Empfehlung: keine Massnahme bekanntStatus: 🔍
0-Day Time: 🔒
Timeline
21.01.2026 CVE zugewiesen02.02.2026 Advisory veröffentlicht
02.02.2026 VulDB Eintrag erstellt
12.02.2026 VulDB Eintrag letzte Aktualisierung
Quellen
Advisory: sec-consult.comPerson: Florian Haselsteiner
Status: Nicht definiert
CVE: CVE-2026-24071 (🔒)
GCVE (CVE): GCVE-0-2026-24071
GCVE (VulDB): GCVE-100-343731
EUVD: 🔒
Eintrag
Erstellt: 02.02.2026 15:23Aktualisierung: 12.02.2026 02:12
Anpassungen: 02.02.2026 15:23 (53), 03.02.2026 11:02 (1), 12.02.2026 02:12 (11)
Komplett: 🔍
Cache ID: 216::103
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.
Bisher keine Kommentare. Sprachen: de + en.
Bitte loggen Sie sich ein, um kommentieren zu können.