CVE-2026-23893 in openCryptokiinformación

Resumen

por VulDB • 2026-05-19

openCryptoki es una biblioteca PKCS#11 y proporciona herramientas para Linux y AIX. Las versiones 2.3.2 y posteriores son vulnerables a la resolución de enlaces simbólicos (symlink-following) cuando se ejecutan en contextos privilegiados. Un usuario de un grupo de tokens puede redirigir las operaciones de archivos a destinos arbitrarios del sistema de archivos plantando enlaces simbólicos en directorios de tokens con permisos de escritura para el grupo, lo que resulta en una escalada de privilegios o exposición de datos. Los directorios de tokens y de bloqueo tienen permisos 0770 (escritura para el grupo de usuarios de tokens), por lo que cualquier miembro del grupo de tokens puede crear archivos y enlaces simbólicos dentro de ellos. Cuando se ejecuta como root, el código base que maneja el acceso a archivos en los directorios de tokens, así como varias herramientas de openCryptoki utilizadas con fines administrativos, pueden restablecer la propiedad o los permisos de los archivos existentes dentro de los directorios de tokens. Un atacante con membresía en el grupo de tokens puede explotar el sistema cuando un administrador ejecuta una aplicación PKCS#11 o una herramienta administrativa que realiza una operación chown en archivos dentro del directorio de tokens durante el mantenimiento normal. Este problema se solucionó en el commit 5e6e4b4, pero no se ha incluido en una versión publicada en el momento de la publicación.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Responsable

GitHub M

Reservar

2026-01-16

Divulgación

2026-01-22

Moderación

aceptado

Artículo

VDB-342267

CPE

listo

EPSS

0.00162

KEV

no

Actividades

muy bajo

Fuentes

Do you want to use VulDB in your project?

Use the official API to access entries easily!