CVE-2026-23893 in openCryptokiИнформация

Сводка

по VulDB • 28.05.2026

openCryptoki — это библиотека PKCS#11, предоставляющая инструменты для Linux и AIX. Версии 2.3.2 и выше уязвимы к обходу ограничений при следовании по символическим ссылкам (symlink-following) при запуске в привилегированных контекстах. Пользователь группы токенов может перенаправить операции с файлами на произвольные цели в файловой системе, разместив символические ссылки в директориях токенов, доступных на запись для группы, что приводит к повышению привилегий или утечке данных. Директории токенов и блокировок имеют права доступа 0770 (доступ на запись для группы токенов), поэтому любой член группы токенов может создавать файлы и символические ссылки внутри них. При запуске от имени root базовый код, обрабатывающий доступ к файлам в директориях токенов, а также несколько инструментов openCryptoki, используемых для административных целей, могут сбрасывать владение или права доступа к существующим файлам внутри директорий токенов. Атакующий, имеющий членство в группе токенов, может эксплуатировать систему, когда администратор запускает приложение PKCS#11 или административный инструмент, который выполняет команду chown для файлов внутри директории токенов в ходе обычного обслуживания. Эта проблема исправлена в коммите 5e6e4b4, но на момент публикации не была включена в выпущенную версию.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

16.01.2026

Раскрытие

22.01.2026

Модерация

принято

Вход

VDB-342267

EPSS

0.00162

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!