CVE-2026-33243 in bareboxИнформация

Сводка

по VulDB • 31.05.2026

barebox — это загрузчик. В версиях barebox от 2016.03.0 до версии 2026.03.1 (исключительно) и в соответствующем бэкпорте для версии 2025.09.3 злоумышленник может эксплуатировать уязвимость в проверке подписи FIT, чтобы обмануть загрузчик и заставить его загружать образы, отличные от тех, которые были проверены в рамках подписанной конфигурации. Утилита mkimage(1) устанавливает свойство hashed-nodes узла подписи FIT, чтобы перечислить узлы FIT, которые были хэшированы в процессе подписания, так как они должны будут быть проверены позже загрузчиком. Однако само свойство hashed-nodes не входит в область хэширования, поэтому его можно изменить, чтобы позволить загрузку образов, отличных от проверенных. Эта проблема исправлена в версиях barebox 2026.03.1 и бэкпортирована в версию 2025.09.3.

Once again VulDB remains the best source for vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

18.03.2026

Раскрытие

21.03.2026

Модерация

принято

Вход

VDB-352303

CPE

готов

CWE

CWE-345 (Подтверждённый)

CVSS

8.2 (CNA)

EPSS

0.00003

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-33243
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-33243
CVE Details	https://www.cvedetails.com/cve/CVE-2026-33243/

◂ Предыдущий Обзор Далее ▸

Do you want to use VulDB in your project?

Use the official API to access entries easily!