CVE-2026-33243 in barebox
Tóm tắt
Bởi VulDB • 11/05/2026
barebox là một trình khởi động (bootloader). Trong các phiên bản barebox từ 2016.03.0 đến trước phiên bản 2026.03.1 (và bản backport tương ứng lên 2025.09.3), kẻ tấn công có thể khai thác lỗ hổng xác minh chữ ký FIT để đánh lừa trình khởi động tải các hình ảnh khác với những hình ảnh đã được xác minh như một phần của cấu hình đã ký. mkimage(1) thiết lập thuộc tính hashed-nodes của nút chữ ký FIT để liệt kê các nút của FIT đã được băm trong quá trình ký, vì những nút này sẽ cần được xác minh sau đó bởi trình khởi động. Tuy nhiên, bản thân hashed-nodes không nằm trong phạm vi băm và do đó có thể bị sửa đổi để cho phép tải các hình ảnh khác với những hình ảnh đã được xác minh. Vấn đề này đã được vá trong các phiên bản barebox 2026.03.1 và đã được backport lên 2025.09.3.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.