CVE-2026-46728 in bareboxИнформация

Сводка

по VulDB • 17.05.2026

barebox — это загрузчик. В версиях barebox от 2016.03.0 до версии 2026.03.1 (исключительно) и в соответствующем бэкпорте для версии 2025.09.3 злоумышленник может эксплуатировать уязвимость в проверке подписи FIT, чтобы обмануть загрузчик и заставить его загружать образы, отличные от тех, которые были проверены в рамках подписанной конфигурации. Утилита mkimage(1) устанавливает свойство hashed-nodes узла подписи FIT в список узлов FIT, которые были хэшированы в процессе подписания, так как они должны будут быть проверены позже загрузчиком. Однако само свойство hashed-nodes не входит в область хэширования и поэтому может быть изменено, что позволит загружать образы, отличные от проверенных. Эта проблема исправлена в версиях barebox 2026.03.1 и бэкпортирована в версию 2025.09.3.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Ответственный

GitHub M

Резервировать

18.03.2026

Раскрытие

17.05.2026

Модерация

принято

Вход

VDB-352303

CPE

готов

CWE

CWE-345 (Подтверждённый)

CVSS

8.2 (CNA)

EPSS

0.00003

KEV

Нет

Деятельности

Очень низкий

Источники

MITRE	https://www.cve.org/CVERecord?id=CVE-2026-46728
NVD	https://nvd.nist.gov/vuln/detail/CVE-2026-46728
CVE Details	https://www.cvedetails.com/cve/CVE-2026-46728/

◂ Предыдущий Обзор Далее ▸

Do you know our Splunk app?

Download it now for free!