CVE-2026-23893 in openCryptoki정보

요약

\~에 의해 VulDB • 2026. 06. 05.

openCryptoki는 PKCS#11 라이브러리이며 Linux 및 AIX용 도구 모음을 제공합니다. 버전 2.3.2 이상은 특권 컨텍스트에서 실행 시 심볼릭 링크 추적을 방지하지 못하는 취약점이 있습니다. 토큰 그룹 사용자는 그룹 쓰기 가능한 토큰 디렉토리에 심볼릭 링크를 배치하여 파일 작업을 임의의 파일 시스템 대상으로 리디렉션할 수 있으며, 이로 인해 권한 상승 또는 데이터 노출이 발생할 수 있습니다. 토큰 및 잠금 디렉토리 권한은 0770(토큰 사용자에게 그룹 쓰기 가능)으로 설정되어 있으므로, 모든 토큰 그룹 구성원은 해당 디렉토리 내부에 파일과 심볼릭 링크를 생성할 수 있습니다. 루트로 실행될 때, 토큰 디렉토리 내 파일 접근을 처리하는 기본 코드와 관리 목적으로 사용되는 여러 openCryptoki 도구는 토큰 디렉토리 내 기존 파일의 소유권 또는 권한을 초기화할 수 있습니다. 토큰 그룹 구성원인 공격자는 일반 유지보수 중 관리자이 토큰 디렉토리 내 파일에 대해 chown을 수행하는 PKCS#11 애플리케이션이나 관리 도구를 실행할 때 이 문제를 악용할 수 있습니다. 이 문제는 커밋 5e6e4b4에서 수정되었으나, 게시 시점에는 릴리스된 버전에 포함되지 않았습니다.

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

책임이 있는

GitHub M

예약하다

2026. 01. 16.

모더레이션

수락

항목

VDB-342267

EPSS

0.00162

출처

Want to stay up to date on a daily basis?

Enable the mail alert feature now!