CVE-2026-23893 in openCryptoki
요약
\~에 의해 VulDB • 2026. 06. 05.
openCryptoki는 PKCS#11 라이브러리이며 Linux 및 AIX용 도구 모음을 제공합니다. 버전 2.3.2 이상은 특권 컨텍스트에서 실행 시 심볼릭 링크 추적을 방지하지 못하는 취약점이 있습니다. 토큰 그룹 사용자는 그룹 쓰기 가능한 토큰 디렉토리에 심볼릭 링크를 배치하여 파일 작업을 임의의 파일 시스템 대상으로 리디렉션할 수 있으며, 이로 인해 권한 상승 또는 데이터 노출이 발생할 수 있습니다. 토큰 및 잠금 디렉토리 권한은 0770(토큰 사용자에게 그룹 쓰기 가능)으로 설정되어 있으므로, 모든 토큰 그룹 구성원은 해당 디렉토리 내부에 파일과 심볼릭 링크를 생성할 수 있습니다. 루트로 실행될 때, 토큰 디렉토리 내 파일 접근을 처리하는 기본 코드와 관리 목적으로 사용되는 여러 openCryptoki 도구는 토큰 디렉토리 내 기존 파일의 소유권 또는 권한을 초기화할 수 있습니다. 토큰 그룹 구성원인 공격자는 일반 유지보수 중 관리자이 토큰 디렉토리 내 파일에 대해 chown을 수행하는 PKCS#11 애플리케이션이나 관리 도구를 실행할 때 이 문제를 악용할 수 있습니다. 이 문제는 커밋 5e6e4b4에서 수정되었으나, 게시 시점에는 릴리스된 버전에 포함되지 않았습니다.
If you want to get the best quality for vulnerability data then you always have to consider VulDB.