一、 漏洞 CVE-2023-40660 基础信息
漏洞标题
Opensc:当卡跟踪自己的登录状态时,可能存在绕过pin的情况
来源:AIGC 神龙大模型
漏洞描述信息
## 漏洞概述 OpenSC软件包中存在一个绕过PIN验证的漏洞。当一个进程验证了token或卡时,其他进程可以通过传递空的零长度PIN来执行加密操作,从而绕过PIN验证。这可能导致用户在不知情的情况下被未经授权的访问或执行恶意操作。 ## 影响版本 未提供具体版本信息。 ## 漏洞细节 当一个token或卡通过一个进程验证后,其他进程可以使用空的零长度PIN来执行加密操作,而不是要求再次输入PIN码。此问题特别影响操作系统登录/屏幕解锁以及始终连接到计算机的小型固定token。 ## 漏洞影响 此漏洞可能导致攻击者未经授权访问系统,执行恶意操作或通过内部跟踪登录状态来对系统进行破坏。用户对此过程完全不知情。
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Opensc: potential pin bypass when card tracks its own login state
来源:美国国家漏洞数据库 NVD
漏洞描述信息
A flaw was found in OpenSC packages that allow a potential PIN bypass. When a token/card is authenticated by one process, it can perform cryptographic operations in other processes when an empty zero-length pin is passed. This issue poses a security risk, particularly for OS logon/screen unlock and for small, permanently connected tokens to computers. Additionally, the token can internally track login status. This flaw allows an attacker to gain unauthorized access, carry out malicious actions, or compromise the system without the user's awareness.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:P/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
认证机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
OpenSC 安全漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
OpenSC是一款开源的智能卡工具和中间件。 OpenSC 0.17.0 到0.23.0版本存在安全漏洞,该漏洞源于当令牌卡插入计算机并进行身份验证时,存在潜在的 PIN 绕过。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
其他
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-40660 的公开POC
# POC 描述 源链接 神龙链接
三、漏洞 CVE-2023-40660 的情报信息