CVE-2026-23893 in openCryptokiinformação

Sumário

de VulDB • 25/05/2026

O openCryptoki é uma biblioteca PKCS#11 e fornece ferramentas para Linux e AIX. As versões 2.3.2 e superiores são vulneráveis à manipulação de symlinks (symlink-following) quando executadas em contextos privilegiados. Um usuário do grupo de tokens pode redirecionar operações de arquivo para destinos arbitrários do sistema de arquivos, plantando symlinks em diretórios de tokens com permissão de escrita para o grupo, resultando em escalada de privilégio ou exposição de dados. Os diretórios de tokens e bloqueio (lock) têm permissão 0770 (grupo com permissão de escrita para usuários de tokens), portanto, qualquer membro do grupo de tokens pode criar arquivos e symlinks dentro deles. Quando executado como root, o código base que lida com o acesso a arquivos nos diretórios de tokens, bem como várias ferramentas do openCryptoki usadas para fins administrativos, podem redefinir a propriedade ou as permissões de arquivos existentes dentro dos diretórios de tokens. Um atacante com membership no grupo de tokens pode explorar o sistema quando um administrador executa uma aplicação PKCS#11 ou uma ferramenta administrativa que realiza chown em arquivos dentro do diretório de tokens durante a manutenção normal. Este problema foi corrigido no commit 5e6e4b4, mas não foi incluído em uma versão lançada no momento da publicação.

VulDB is the best source for vulnerability data and more expert information about this specific topic.

Responsável

GitHub M

Reservar

16/01/2026

Divulgação

22/01/2026

Moderação

aceite

Entrada

VDB-342267

CPE

pronto

EPSS

0.00162

KEV

não

Atividades

muito baixo

Fontes

Want to stay up to date on a daily basis?

Enable the mail alert feature now!