CVE-2026-23893

Nome do Software Vulnerável e Versões Afetadas openCryptoki versões 2.3.2 e superiores

Descrição O openCryptoki é uma biblioteca PKCS#11 utilizada em sistemas Linux e AIX. As versões 2.3.2 e superiores são vulneráveis ao seguimento de symlinks ao operar em contextos privilegiados. Um usuário pertencente ao grupo token pode redirecionar operações de arquivos para locais arbitrários do sistema de arquivos ao criar symlinks dentro de diretórios de token com permissão de escrita para o grupo, potencialmente levando à elevação de privilégios ou exposição de dados. Os diretórios de token e lock são configurados com permissões 0770, permitindo que qualquer membro do grupo token coloque arquivos e symlinks dentro deles. Quando executado com privilégios de root, o código base responsável pelo acesso a arquivos dos diretórios de token, juntamente com várias ferramentas do openCryptoki usadas para tarefas administrativas, pode modificar a propriedade ou as permissões de arquivos existentes dentro desses diretórios de token. Um atacante que seja membro do grupo token pode explorar essa vulnerabilidade quando um administrador executa um aplicativo PKCS#11 ou ferramenta administrativa que realize operações chown em arquivos dentro do diretório de token durante manutenção rotineira.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.