Vulnerabilidad en AuthentIC (CVE-2024-1454)
Gravedad CVSS v3.1:
BAJA
Tipo:
CWE-416
Utilización después de liberación
Fecha de publicación:
12/02/2024
Última modificación:
06/11/2024
Descripción
La vulnerabilidad de use-after-free se encontró en el controlador AuthentIC en los paquetes OpenSC y ocurre en el proceso de inscripción de tarjetas usando pkcs15-init cuando un usuario o administrador registra o modifica tarjetas. Un atacante debe tener acceso físico al sistema informático y requiere un dispositivo USB o una tarjeta inteligente manipulada para presentar al sistema respuestas especialmente manipuladas a las APDU, que se consideran de alta complejidad y baja gravedad. Esta manipulación puede permitir operaciones de administración de tarjetas comprometidas durante la inscripción.
Impacto
Puntuación base 3.x
3.40
Gravedad 3.x
BAJA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:a:opensc_project:opensc:*:*:*:*:*:*:*:* | 0.25.0 (excluyendo) | |
| cpe:2.3:o:fedoraproject:fedora:38:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:39:*:*:*:*:*:*:* | ||
| cpe:2.3:o:fedoraproject:fedora:40:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:7.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:8.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:redhat:enterprise_linux:9.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página