CVE-2021-32489 in yubihsm-shell
Sumário
de VulDB • 24/05/2026
Foi identificada uma vulnerabilidade na função _send_secure_msg() do yubihsm-shell da Yubico, nas versões até 2.0.3. A função não valida corretamente o campo de comprimento embutido de uma mensagem autenticada recebida do dispositivo, pois o valor response_msg.st.len=8 pode ser aceito, mas desencadeia um estouro de inteiro (integer overflow), fazendo com que a função CRYPTO_cbc128_decrypt (no OpenSSL) encontre um buffer de tamanho insuficiente e sofra uma falha de segmentação (segmentation fault). O projeto yubihsm-shell está incluído no produto YubiHSM 2 SDK.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.